Комментарии 7
Идея SBOM берет начало в промышленной сфере, и на производстве Bill of Materials (BOM) используют достаточно давно. Это — подробный список сырья и готовых компонентов, необходимых для изготовления той или иной продукции, организованный по иерархическому принципу.
Bill of Materials - Спецификация. (ГОСТ 2.106-2019)
Этот "список" (Спецификация) может быть как подробным, так и не очень, как с учётом количества вхождения компонентов во всё изделие, так и в отдельные узлы/подсборки. И никакого отношения к SBOM кроме похожих букв это не имеет. А вот сам SBOM больше похож на список зависимостей а ля json.
Аппаратное обеспечение может участвовать в распространении или выполнении ПО (например, сетевое оборудование, криптографические устройства и т. д.), но оно не считается частью SBOM.
А вот это конкретный косяк со стороны SBOM.
При желании вполне можно учитывать (зависит от продукта). Но если железо живет в облаке и за него отвечает кто-то другой, то можно и не перегружать себя этим
Почему же, есть HBOM.
Также есть CBOM - Cryptographic Bill of Materials, чтобы выявлять используемые криптографические примитивы и оперативно реагировать в случае доказательства их уязвимости.
Можно еще добавить, что сегодня SBOM становится все более обязательным и требуется заказчиком, а формат SPDX становится дефакто стандартом SBOM.
Что такое Software Bill of Materials и зачем он нужен разработчикам