Skip to content
Latchkey

O Que É um SBOM (Software Bill of Materials)?

Um software bill of materials (SBOM) é uma lista formal e legível por máquina de cada componente, biblioteca e dependência contida em um artifact de software, junto com versões e relacionamentos. Formatos comuns incluem SPDX e CycloneDX. SBOMs permitem que times respondam rapidamente "estamos afetados?" quando uma nova vulnerabilidade é divulgada.

Por que isso importa

Quando uma vulnerabilidade como a Log4Shell aparece, a primeira pergunta é quais builds incluem o componente afetado. Sem um SBOM, essa resposta leva dias de auditoria manual. Gerar um SBOM durante o CI torna o inventário autoritativo e consultável instantaneamente.

Conceitos relacionados

  • SPDX e CycloneDX são formatos padrão de SBOM
  • Dependências transitivas precisam ser incluídas, não só as diretas
  • Combina com provenance para descrever tanto conteúdo quanto origem

Guias relacionados