软件 Bill of Materials (SBOM) 解读 

SBOM 的核心有三个主要优点： 

广义上讲，软件消费者可以是任何实体，无论是商业实体还是非商业实体，都可以从供应商那里获得第三方组件和第三方软件实用程序。这些供应商的范围很广： 

• 商业软件出版商
• 提供软件组件的合同软件开发人员
• FOSS（自由与开源软件）供应商在开放源代码库或软件包管理器中管理代码

值得注意的是，这些供应商身兼数职。它们可以是制造商、开发商、维护商或提供商。理想情况下，这些实体也应为其软件功能策划 SBOM。需要记住的一个独特区别是，大多数供应商也是消费者。但是，没有任何上游组件的供应商通常会被标记为根实体。

根据软件开发和部署阶段的不同，会生成不同类型的 SBOM，每种 SBOM 都有其独特的用途，并能提供对软件组件的独特见解。以下是六种常见的 SBOM 文档。

根据 NTIA（美国国家电信和信息管理局）的规定，SBOM 的最低要素包括软件供应商名称、组件、其版本、唯一标识符、依赖关系、SBOM 数据的作者和时间戳。此外，SBOM 数据应包含以下要素才能有效和全面： 

• 数据字段： 必须有明确定义的数据字段，详细说明软件的组件名称、版本和属性。这可确保每个利益相关者都能彻底了解软件的构成。 
• 自动化支持： 鉴于软件开发的动态性质，SBOM 应能自动更新并集成到软件开发和部署管道中。这样才能确保实时准确性和效率。 
• 实践与流程： 除了列出组件外，SBOM 还应包含最佳实践和流程，以规范其创建、维护和使用。