SBOM-format och standarder

Standardiserade format gör SBOM:ar mer användbara och kompatibla

Feb 7, 2025

När en SBOM följer ett etablerat standardformat ökar chansen för att den ska kunna läsas, förstås och användas av olika system och aktörer. Två av de vanligaste formaten idag är CycloneDX och SPDX. Båda erbjuder ett strukturerat sätt att dokumentera mjukvarukomponenter, licenser, beroenden och sårbarheter – men de har också sina unika fördelar och användningsområden.

CycloneDX (OWASP) – nu en Ecma International Standard

CycloneDX1 skapades ursprungligen av OWASP för att möjliggöra enkel och tydlig beskrivning av mjukvarusammansättningar, med särskild tonvikt på säkerhetsanalys.

I och med att version 1.6 nu blivit en godkänd standard hos Ecma International, har formatet fått en ytterligare kvalitetsstämpel som bidrar till dess starka position i branschen.

  • Större tillit och stabilitet: Att Ecma International ställer sig bakom CycloneDX innebär att formatet genomgått en rigorös granskningsprocess.

  • Bredare acceptans globalt: Ecma-standarder är kända och respekterade, vilket främjar adoption inom både näringsliv och offentlig sektor.

  • Sömlös interoperabilitet: Verktyg och plattformar som stödjer CycloneDX kan utbyta SBOM-information utan risk för feltolkningar.

  • Framtidssäker utveckling: Standarden förvaltas och vidareutvecklas på ett sätt som ger långsiktig stabilitet och förutsägbarhet för organisationer som investerar i formatet.

SPDX (Software Package Data Exchange - Linux Foundation)

SPDX2 har rötterna i Linux Foundation och är ett välkänt SBOM-format som ursprungligen lades stort fokus på licensinformation och regelefterlevnad. Idag täcker det även en bred uppsättning data relaterad till mjukvarukomponenter.

Som en standardiserad lösning underlättar SPDX samarbeten och informationsutbyten, inte minst inom öppen källkod och kommersiella projekt där licenser och sårbarheter behöver övervakas noggrant. SPDX är inte en ECMA-standard, men är istället antagen som en ISO-standard (ISO/IEC 5962:2021).

SCA-verktyg och SBOM-generering

I princip alla SCA (Software Composition Analysis)-verktyg på marknaden idag kan generera SBOM:ar i något av de standardiserade formaten CycloneDX och SPDX. Det innebär att man, direkt i den befintliga utvecklingsmiljön, kan få en uppdaterad och detaljerad förteckning över mjukvarans komponenter, inklusive eventuella sårbarheter och licensinformation.

På så sätt blir det enklare att att både ha koll på vilka komponenter som används i egenutvecklad mjukvara och sådan som används från leverantörer eller öppen källkod.

Genom att utnyttja standardformat som CycloneDX och SPDX blir SBOM inte bara en intern checklista, utan ett kraftfullt kommunikations- och analysverktyg som kan användas av hela leveranskedjan.

Detta gör det betydligt enklare att uppfylla allt högre krav på säkerhet, transparens och regelefterlevnad – både idag och i framtiden.

Fotnoter

  1. CycloneDX

  2. SPDX

Hur skapar man en SBOM?