Vilka fält ingår i en SBOM?
En SBOM (Software Bill of Materials) är en strukturerad översikt som ger insikt i varje del av en mjukvaruprodukt. Här är några exempel på vad som kan ingå:
| Fält | Exempel |
|---|---|
| Komponentnamn | react, express, openssl |
| Version | 10.2.3, v4.17.1, 1.1.1k |
| Licensinformation | MIT, GPLv3, Apache 2.0 |
| Beroenden | Andra bibliotek eller moduler |
| Sårbarhetsdata | CVE-information, patchstatus |
| Tillverkningsinformation | Tillverkare eller leverantör (t.ex. Red Hat) |
| Metadata & Konfiguration | Byggmiljö, miljövariabler, etc. |
Nedan följer en kortare beskrivning av varje del.
Komponentnamn
Det identifierar bibliotek, moduler eller ramverk som används i mjukvaran. Genom att namnge varje komponent kan man snabbt hitta och hänvisa till den vid uppdateringar eller felsökning.
Version
Anger exakt vilken version av varje komponent som är inkluderad. Detta är avgörande för att spåra förändringar, säkerhetsuppdateringar och kompatibilitetsfrågor.
Licensinformation
Visar vilken licens som gäller för respektive komponent, till exempel öppen källkod eller proprietära licenser. Detta hjälper organisationer att uppfylla juridiska krav och undvika licenskonflikter.
Beroenden
Belyser både direkta och indirekta beroenden. På så sätt får man en fullständig bild av hur mjukvarukomponenter är sammanflätade och hur en eventuell uppdatering av en komponent kan påverka resten av systemet.
Sårbarhetsdata
Innehåller information om kända sårbarheter, risknivåer och eventuella åtgärder. Detta gör att organisationer snabbt kan reagera på säkerhetshot och minska risken för attacker.
Tillverkningsinformation
Specificerar vilken tillverkare eller leverantör som ligger bakom en viss komponent. Det ökar spårbarheten och hjälper till att verifiera att komponenterna kommer från tillförlitliga källor.
Metadata och konfiguration
Kan inkludera konfigurationsinställningar, byggmiljö eller andra relevanta detaljer som visar hur mjukvaran är uppbyggd och hur komponenter används i olika miljöer.