SBOM: cosa significa

Accendi un Commodore 64 e vuoi sapere come funziona il software ? Facile. E' tutto li'.

Il software di oggi può includere incorporando librerie, software, codice esterno. Richiedere l'esistenza di un servizio od un software di altri. Può ricorrere a risorse online per avere i dati per funzionare.

Alcuni software di compilazione (pochi) stanno provando ad implementare soluzioni di mappatura automatica insieme alla compilazione.

La verità è che una mappatura completa in sistemi così complessi e', allo stato dell'arte, una impresa nonostante la migliore progettazione. Soprattutto con investimenti non adeguati al lavoro.

E' tuttavia fattibile e, in molti casi, non è poi così impossibile. Quando lo sviluppatore scrive codice ha sempre la percezione di quello che fa lui e quello che fanno altre risorse, se non altro perchè la progettazione del supporto degli errori è diversa.

Software Bill of Materials (SBOM) è il descrivere componenti, licenze, vulnerabilità e relazioni tra pacchetti.

Include nomi, versioni, date.

Ci sono ancora vari formati, lo stato dell'arte è ... in fase di inizio.

Quale scegliere?

• Per SBOM universale: CycloneDX o SPDX (JSON sono i più diffusi).
• Per compliance/licenze: SPDX (è lo standard più maturo).
• Per sicurezza/supply chain: CycloneDX (più orientato alle vulnerabilità).