《SBOM工具分类方法》
译文
软件是基于其他软件组件构建的,软件物料清单(SBOM)实际上是这些组件的嵌套清单1。软件供应商和购买方需要一套公认的格式来交换元数据,以管理软件供应链、许可和漏洞风险。随着软件供应链的动态变化,与软件相关的信息和工具标准集形成的物料清单不断演变。
下面是NTIA格式和工具工作组2对不同类型的工具的分类,这些工具对SBOM生成和使用中的用例范围至关重要,涵盖开源和商业中最相关的工具。工具创建者和供应商可以使用这种分类法轻松地对他们的工具进行分类,并可以帮助那些需要SBOM工具的人了解可用的内容。
注释1:嵌套清单
有关SBOM及其在漏洞管理以及软件开发和使用中的价值的更多信息,请访问https://ntia.gov/SBOM
注释2:工具工作组
有关工作组的更多信息,请访问https://ntia.gov/SoftwareTransparency。
注释3:构建软件artifact
译者注:artifact是“一种证据”。[源自NISTIR7692]证据是“相信或不相信的理由;作为证明或确定真假依据的数据。[NISTSP800-160卷1]”artifact提供安全软件开发实践的记录。
END
