Att skapa en SBOM (Software Bill of Materials) är enkelt och kan göras på flera sätt. Det finns både gratis open source-verktyg och kommersiella alternativ. Många stora företag använder redan gratisverktygen, eftersom de blivit så bra.
Börja med att välja ett verktyg som passar dina behov. Här är några populära open source alternativ som kan generera SBOM:ar från källkod eller containers:
- Observer:
- Trivy:
- Syft:
- cdxgen:
- osv-scanner:
De flesta verktygen kan köras via kommandoraden, vilket gör det enkelt att köra själv på sin dator eller helst som en del i utvecklings- och byggprocessen.
Gratisverktyg för att analysera en SBOM
Många talar om första steget, att skapa SBOM:ar och skicka SBOM:ar, men minst lika viktigt är det att granska och använda resultatet, dvs de skapade SBOM:arna.
Verktygen som används för att skapa SBOM:ar kan ofta användas för att göra en grundläggande analys av innehållet i en SBOM, ex för att se sårbarheter. I en verksamhet behöver man troligen ett mer systematiskt sätt att hantera SBOM:ar och deras innehåll.
Det webbbaserade verktyget SBOM Analyzer kan användas för att få en snabb överblick av innehållet i en SBOM.
Informationen som visas är bland annat:
- Antalet komponenter
- Om SBOM:en uppfyller kraven för SBOM Minimum Elements
- Antalet kända sårbarheter
- Antalet licenser
Verktyget är helt gratis.
