SBOMtiedostot

SBOM-tiedostot, eli Software Bill of Materials -tiedostot, ovat tiedostoja, joissa kuvataan ohjelmiston käytössä olevat komponentit ja niihin liittyvät tiedot. Niiden tarkoituksena on parantaa ohjelmiston toimittajaketjun läpinäkyvyyttä sekä tukea turvallisuus- ja lisenssiriskien hallintaa. SBOM-tiedostot voivat koskea sekä valmiita ohjelmistoja että niiden komponentteja, kuten open source -kirjastoja ja kolmansien osapuolien ohjelmistoa.

Formaattien osalta yleisimmät ovat SPDX (Software Package Data Exchange) sekä CycloneDX; lisäksi käytetään SWID-tunnisteita ISO/IEC 19770-2

SBOM-tiedostoja tuotetaan ohjelmistokehityksen rakennusvaiheissa sekä erillisillä SBOM-generaattoreilla, ja ne voidaan liittää ohjelmiston jakelupakettiin tai tallentaa ohjelmistovarastoihin.

Haasteita ovat tiedon kattavuus ja laatutaso, erityisesti dynaamisessa ja transitiivisessa riippuvuuksien kartoituksessa sekä sulautettujen komponenttien tunnistamisessa.