一、Sbom介绍
“Sbom"指的是"Software Bill of Materials”,即软件清单。
在Spring Boot项目中,Sbom指的是一份清单,列出了项目中使用的所有软件组件及其版本信息。
Sbom的目的是为了帮助开发者和用户了解软件中所包含的组件及其版本信息,以便更好地管理和维护软件。对于一个Spring Boot项目,Sbom通常包含以下信息:
项目中使用的Spring Boot版本信息
项目中使用的其他第三方库及其版本信息
项目中使用的操作系统及其版本信息
项目中使用的数据库及其版本信息
项目中使用的其他软件组件及其版本信息
Sbom可以用于软件的安全漏洞扫描、版本管理、许可证管理等方面。在开发过程中,开发者可以通过生成Sbom来更好地管理项目中使用的组件及其版本信息。在软件发布后,用户可以通过查看Sbom来了解软件中所包含的组件及其版本信息,以便更好地评估软件的安全性和稳定性。
二、SBOM ,三种主流格式介绍
当前 SBOM 有三种最为主流的格式,他们分别为: SPDX、 SWID以及 CycloneDX 。
2.1 SPDX
由 LINUX 基金会主导的 The Software Package Data Exchange ( SPDX )项目,旨在通过定义报告信息的标准来帮助减少软件的歧义。 SPDX 通过为企业和社区提供共享重要数据的通用格式来减少冗余工作, SPDX 规范作为 ISO/IEC 5962 : 2021 被公认为安全性、许可证合规性和其他软件供应链工件的国际开放标准。 SPDX 支持众多文件格式( .xls , .spdx , .rdf , .json , .yml 以及 .xml ),特征是包括组件、许可证、版权以及开放标准。
2.2 SWID
SWID 由 NIST 推出,只支持 .xml 格式,由一组结构化的数据元素组成,标识产品、版本、产品生产分发中的组织和个人、组件信息、产品和其他描述性元数据之间的关系等信息。
2.3 CycloneDX
- CycloneDX 是一种轻量级 SBOM 标准
- CycloneDX由 OWASP 推出,支持 .json和 .xml 。