Shane Coughlan, General Manager von OpenChain, ging auf diese Frage ein, nachdem die National Telecommunications and Information Administration (NTIA) die Definition einer Mindeststückliste für Software (SBOM) gefordert hatte.
Laut den SBOM-FAQ der NTIA ist eine „Software-Stückliste (SBOM)“ eine vollständige, formal strukturierte Liste von Komponenten, Bibliotheken und Modulen, die für die Erstellung einer bestimmten Software erforderlich sind, sowie der Lieferkettenbeziehungen zwischen ihnen. Diese Komponenten können Open Source oder proprietär, kostenlos oder kostenpflichtig und allgemein verfügbar oder zugangsbeschränkt sein.“ SBOMs, die reibungslos zwischen Teams und Unternehmen ausgetauscht werden können, sind ein Kernbestandteil des Softwaremanagements für kritische Branchen und die digitale Infrastruktur in den kommenden Jahrzehnten.
Die internationale Norm ISO für die Einhaltung von Open-Source-Lizenzen (ISO/IEC 5230:2020) verlangt ein Verfahren zur Verwaltung einer Stückliste für mitgelieferte Software. Dies steht im Einklang mit den Zielen der NTIA für mehr Transparenz bei Software und zeigt, wie die globale Industrie die Herausforderungen in diesem Bereich angeht. So hat es sich beispielsweise als bewährte Praxis etabliert, eine Stückliste für alle Komponenten in der mitgelieferten Software beizufügen, anstatt diese Materialien isoliert als Open Source bereitzustellen.
Lesen Sie den ganzen Artikel hier.