O Que É um SBOM (Software Bill of Materials)?
Um software bill of materials (SBOM) é uma lista formal e legível por máquina de cada componente, biblioteca e dependência contida em um artifact de software, junto com versões e relacionamentos. Formatos comuns incluem SPDX e CycloneDX. SBOMs permitem que times respondam rapidamente "estamos afetados?" quando uma nova vulnerabilidade é divulgada.
Por que isso importa
Quando uma vulnerabilidade como a Log4Shell aparece, a primeira pergunta é quais builds incluem o componente afetado. Sem um SBOM, essa resposta leva dias de auditoria manual. Gerar um SBOM durante o CI torna o inventário autoritativo e consultável instantaneamente.
Conceitos relacionados
- SPDX e CycloneDX são formatos padrão de SBOM
- Dependências transitivas precisam ser incluídas, não só as diretas
- Combina com provenance para descrever tanto conteúdo quanto origem
Guias relacionados
What Is a Transitive Dependency?A transitive dependency is one you do not require directly but pull in indirectly because a dependency of you…
What Is Build Provenance?Build provenance is signed metadata describing how an artifact was built, including its source, inputs, and b…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…