Shane Coughlan, General Manager von OpenChain, ging auf diese Frage ein, nachdem die National Telecommunications and Information Administration (NTIA) die Definition einer Mindeststückliste für Software (SBOM) gefordert hatte.
Laut NTIA-FAQ ist eine SBOM eine strukturierte Liste aller Komponenten, Bibliotheken und Module, die eine Software benötigt. Zudem zeigt sie die Lieferkettenbeziehungen zwischen ihnen. Diese Komponenten können Open Source oder proprietär, kostenlos oder kostenpflichtig sowie öffentlich oder eingeschränkt verfügbar sein. SBOMs erleichtern den Austausch zwischen Teams und Unternehmen und sind essenziell für das Softwaremanagement in kritischen Branchen.
Die ISO-Norm für Open-Source-Compliance (ISO/IEC 5230:2020) fordert ein Verfahren zur Verwaltung einer Software-Stückliste. Dies entspricht den NTIA-Zielen für mehr Transparenz und zeigt, wie die Industrie diese Herausforderung meistert. Eine bewährte Praxis ist es, eine vollständige Stückliste aller Komponenten bereitzustellen, anstatt Open-Source-Materialien isoliert zu veröffentlichen.
Lesen Sie den ganzen Artikel hier.
Hier erfahren Sie mehr über die entscheidene Rolle von Scan-Tiefe und SBOM.