En SBOM visar vilka komponenter som ingår i en applikation. Även om man använder standardiserade format som CycloneDX eller SPDX kan innehållet variera beroende på vilket verktyg som används för att generera SBOM:en. Två olika verktyg kan alltså ge olika detaljnivå och olika datakvalitet, trots att de formellt följer samma standard.
SBOM minimikrav – Minimum Elements
I USA har NTIA (National Telecommunications and Information Administration)1, som en del av presidentordern EO 14028, formulerat riktlinjer för vad en SBOM minst bör innehålla.
Dessa kallas för Minimum Elements och kan till exempel kräva att fält som namn, version och leverantör fylls i på ett visst sätt. Syftet är att säkerställa ett enhetligt och användbart innehåll som inte bara följer ett format, utan även uppfyller en lägstanivå av datakvalitet.
Mer information finns att läsa på sidan Vad är Minimum Elements?.
Varför datakvaliteten spelar roll
Om fälten i SBOM:en är felaktiga eller ofullständiga – exempelvis om komponentnamn, versioner eller licenser inte är tydligt angivna – förlorar analysen mycket av sitt värde. Man får svårt att hitta relevanta säkerhetsrisker och osäkra beroenden i mjukvaran.
Det kan leda till att sårbarheter förblir oupptäckta eller att felaktiga beslut fattas kring uppdateringar och inköp.
Policys för intern “compliance”
För att motverka dessa problem kan man införa interna policys som ställer krav på vilken information som alltid måste finnas med i en SBOM.
Om leverantörer bara säger att de “har en SBOM” räcker inte det – man bör även med automatik och kontinuerligt kontrollera att SBOM:en faktiskt innehåller de uppgifter som krävs för en meningsfull analys.
Genom att säkerställa att namnfält, versionsinformation och andra nyckelfält är korrekt ifyllda kan man öka tillförlitligheten i både egna och andras säkerhetsanalyser.