LINUX.ORG.RU

SBOM CycloneDX (SPDX)

 cyclonedx, sbom, поибэ


0

1

Мы пишем наш видеостриминговый софт (flussonic) и продаем его on-premises, т.е. его ставят себе на свои сервера.

Безымянный банк просит прислать им описание нашей поставки софта (SBOM) в CycloneDX формате. Идея для меня новая, но выглядит вообще довольно вменяемо и интересно.

Вопрос 1: это вообще нужно, или это просто прикольная идея?

На практике это работает?

Вопрос 2: какая нормальная практика доставки этого описания до цифрового КПП? Файл в пакете, урл на запущенном софте?

вона, для джавы даже плагинчики есть https://foojay.io/today/how-to-create-sboms-in-java-with-maven-and-gradle/

это вообще нужно

безопасникам

На практике это работает?

зависит от тех же безопасников. используется для «автоматического поиска уязвимостей». Ну, как поиска… Известно, что в такой-то версии либы есть CVE номер такой-то. Ваш билд использует эту версию, а, следовательно, уязвим.

практика доставки

я за «файл в пакете», иначе как инспектировать-то? «не запустишь - не узнаешь»? ;)

вот такая штука еще попалась, пока освежал тему: https://github.com/nexB/scancode-toolkit

aol ★★★★★
()
Последнее исправление: aol (всего исправлений: 1)