14、软件透明度与物料清单：全面解析与应用

软件透明度与物料清单：全面解析与应用

1. SBOM 的共享与存储

软件物料清单（SBOM）的共享和存储方式多样，主要包括：
- 直接共享 ：软件发布者和客户可通过 SBOM 共享机制（如 API、文档库或电子邮件）直接共享。
- 内部存储 ：将 SBOM 或其引用直接存储在软件或固件中，或通过制造商使用描述（MUD）模式存储。
- 门户发布 ：在公开或私有可访问的门户上发布 SBOM。
- 第三方发布 ：将 SBOM 发布给第三方，如信息共享和分析中心（ISAC）或风险管理服务机构。

不过，部分组织视 SBOM 为知识产权，可能仅通过受限机制提供，甚至可能要求签署保密协议（NDA）。

2. 软件透明度控制 - 生成 SBOM

控制 ST - 01 要求为每个软件生产版本生成 SBOM。目前主要有三种 SBOM 格式，具体信息如下表所示：
| 格式 | 起源 | 描述 |
| — | — | — |
| CycloneDX | OWASP 社区 | 专注于在构建管道中实现 SBOM 的自动化、采用和增强，更新频繁。 |
| SPDX | Linux 基金会和 ISO/IEC 5962:2021 | ISO/IEC 5962:2021 - 信息技术 SPDX® 规范 V2.2.1 侧重于在开发工作流程和企业合规性方面的应用，更新频繁。 |
| SWID | ISO/IEC 19770 - 2:2015 | 专为软件库存和