Мы пишем наш видеостриминговый софт (flussonic) и продаем его on-premises, т.е. его ставят себе на свои сервера.
Безымянный банк просит прислать им описание нашей поставки софта (SBOM) в CycloneDX формате. Идея для меня новая, но выглядит вообще довольно вменяемо и интересно.
Вопрос 1: это вообще нужно, или это просто прикольная идея?
На практике это работает?
Вопрос 2: какая нормальная практика доставки этого описания до цифрового КПП? Файл в пакете, урл на запущенном софте?