En SBOM (Software Bill of Materials) är en detaljerad lista över alla komponenter som ingår i en mjukvara. Tänk på det som en "ingredienslista" för mjukvara – den visar exakt vilka bibliotek, moduler, ramverk och andra beroenden som använts för att bygga en applikation.
SBOM är ett verktyg som blir allt viktigare för att öka transparensen, säkerheten och spårbarheten i mjukvaruutveckling och distribution.
Standardisering och branschens anpassning
Digitala leveranskedjor, ökande säkerhetshot och strängare regelverk, exempelvis NIS2, DORA och CRA, har gjort det nödvändigt för företag och offentliga organisationer att kräva full insyn i mjukvarans sammansättning.
Genom att implementera SBOM:ar på ett standardiserat sätt kan man snabbt identifiera vilka komponenter som ingår i en applikation och bedöma deras säkerhetsstatus.
Detta möjliggör inte bara effektiv sårbarhetshantering utan också en robust regelefterlevnad.
Historik och utveckling
Även om konceptet med att dokumentera en produkts sammansättning har funnits länge inom flera branscher, är det först under de senaste åren som hela mjukvaruindustrin aktivt har börjat använda SBOM:ar som standard.
Tidigare delades information om mjukvarukomponenter ofta i fragmenterad form, vilket ledde till att användningen inte tog fart. Med de ökande kraven på säkerhet, efterlevnad och transparens har SBOM:ar blivit en central del av modern mjukvarusäkerhet.
Olika typer av BOM:ar
Inom området för material- och komponentdokumentation finns flera typer av BOM:ar. Enligt standarder som CycloneDX omfattar man idag flera BOM-typer, vilka var och en fokuserar på olika aspekter av en produkts sammansättning, exempelvis:
| BOM-typ | Förkortning | Beskrivning |
|---|---|---|
| Software Bill of Materials | SBOM | En detaljerad lista över alla mjukvarukomponenter som ingår i en applikation, inklusive bibliotek, moduler, ramverk och andra beroenden. |
| Hardware Bill of Materials | HBOM | En fullständig översikt över alla fysiska komponenter och hårdvaruenheter som utgör en produkt eller ett system. |
| Cryptography Bill of Materials | CBOM | En inventering av de kryptografiska komponenterna – såsom algoritmer, nycklar och säkerhetsmoduler – som används för att säkerställa datasäkerhet. |
| AI/Machine Learning Bill of Materials | AI/ML-BOM | En lista över de komponenter, modeller, träningsdata och ramverk som används i AI- och maskininlärningslösningar. |
| Software as a Service Bill of Materials | SaaSBOM | En översikt över de mjukvarukomponenter och tjänster som utgör en SaaS-lösning, med fokus på både interna och externa molnbaserade lösningar. |
| Vulnerability Exploitability Exchange | VEX | Ett format för att utbyta information om huruvida en specifik sårbarhet kan utnyttjas i en viss kontext, vilket underlättar prioritering av säkerhetsåtgärder. |
Genom att använda dessa standardiserade BOM:ar får man en heltäckande bild av en produkts sammansättning, oavsett om det gäller mjukvara, hårdvara eller specialiserade områden såsom kryptografi och AI.
SBOM:ar kan skapas ur olika perspektiv beroende på mjukvaruutvecklingsfasen. En Source SBOM genereras direkt från källkoden och listar deklarerade komponenter och beroenden. En Build SBOM genereras under byggprocessen och inkluderar de faktiska beroendena, medan en Runtime SBOM visar de komponenter som är aktiva i produktionen.
För information om olika typerna, läs Olika typer av SBOM:ar.
SBOM:ens betydelse i dagens industri
SBOM har blivit en central del av mjukvarusäkerheten och hela industrin rör sig mot att använda det som en standard. Organisationer inser vikten av att ha full insyn i mjukvarans sammansättning, särskilt med tanke på de ökande kraven på säkerhet och efterlevnad.
Stora techbolag, som exempelvis Cisco, har redan börjat tillhandahålla SBOM:ar till sina användare. Detta är inte bara en trend bland stora företag – även mindre organisationer och startups börjar se värdet i SBOM. Genom att använda SBOM kan de visa att de tar säkerhet på allvar och bygga förtroende hos sina kunder.
Vidare ställer offentliga organisationer allt oftare krav i sina inköpsprocesser att leverantörer ska leverera SBOM:ar tillsammans med sina applikationer – man vill helt enkelt inte längre köpa i blindo. Genom att ha en transparent och standardiserad innehållsförteckning kan man snabbt identifiera vilka komponenter som finns i en produkt och bedöma potentiella risker.
Med den fortsatta utvecklingen av digitala leveranskedjor och ett ökat fokus på cybersäkerhet förväntas användningen av SBOM:ar fortsätta att växa. Genom att implementera standardiserade BOM:ar kan organisationer snabbt anpassa sig till förändrade säkerhetslandskap och regelverk, vilket i sin tur skapar en säkrare och mer transparent miljö för hela industrin.