Scale SBOM är ett öppet ramverk för hur organisationer operativt kan arbeta med SBOM (Software Bill of Materials), VEX (Vulnerability Exploitability Exchange) och VDR (Vulnerability Disclosure Report) i digitala leveranskedjor.
- Innehållskrav — definierar vad SBOM-, VEX- och VDR-dokument ska innehålla, anpassade till olika användningsfall för både producenter och konsumenter
- Operationell modell — beskriver roller, ansvar, frekvens, lagring, verifiering och automation
- Mognadsverktyg — självskattningsverktyg som ger nulägesbild och förbättringsförslag kring en organisations mognad inom mjukvarutransparens
Ramverket är fritt tillgängligt och kan användas av både offentlig sektor och näringsliv, vilket bidrar till stärkt motståndskraft i digitala leveranskedjor. Det har utvecklats av SBOM Observer med stöd från NCC-SE (Sveriges nationella samordningscenter för forskning och innovation inom cybersäkerhet) och MCF (Myndigheten för civilt försvar).
Varför Scale SBOM?
Standarder som SPDX och CycloneDX definierar hur transparensdokument struktureras och utbyts. De beskriver däremot inte vad som ska ingå i specifika användningsfall eller hur dokumenten ska användas i den dagliga verksamheten.
Scale SBOM ger praktiska riktlinjer och samlar innehållskrav, operationella arbetsflöden och mognadsbedömning så att organisationer kan införa SBOM-, VEX- och VDR-praxis utan att uppfinna hjulet på nytt.
Ramverket är publicerat på scalesbom.org och är fritt tillgängligt.