SBOM(軟體物料清單)格式是記錄軟體組件及其依賴關係的重要文檔,有助於確保軟體供應鏈的安全性。目前,SBOM主要通過以下三種格式來進行實施:
SPDX
格式:SPDX是一種國際開放標準(ISO/IEC 5962:2021),它包含與軟體包相關的組件、許可證、著作權和安全參考信息。
特點:SPDX標準由Linux基金會主辦的草根開源項目開發,目前維護到最新2.3版本。它對許可證的詳細信息支持較好,主要輸出檔案格式包括RDF、XLS、SPDX、YAML、JSON。
子集:SPDX Lite是SPDX的輕量級子集,適用於不需要完整SPDX的場景,旨在讓沒有開源許可知識或經驗的人易於使用,用於平衡SPDX標準與某些行業工作流程實際需求。
CycloneDX
格式:CycloneDX專為安全環境和供應鏈組件分析而構建,是一種輕量級SBOM標準,可用於應用程式安全上下文和供應鏈組件分析。
特點:它將複雜的軟體數據簡化為通用的、可理解的格式,促進了軟體世界的透明度和協作。
其他格式:每個公司都可以使用自己的標準化方式來表示SBOM。雖然CyclonDX和SPDX是兩個主要的SBOM標準,但其他格式也可能被採用,具體取決於組織的需要和技術棧。
綜上所述,SBOM格式的選擇取決於具體的套用場景和需求。SPDX提供了一套全面的標準,適合需要詳細許可證信息和複雜輸出的場景;而CycloneDX則更適合輕量級、快速的安全分析和供應鏈組件分析。