BOME(BOM Explanation)
sta.iconが考えているアイデア
要はSBOMファイルとBOMEファイルを用意する
sbomファイルはnarsion程度のシンプルなものにする
これなら比較的楽につくれるはず
最悪手作業記入であってもnasion(nameとversion)を列挙するだけなので何とかなる
で、「実際にどう使ってるか」という部分はbomeファイルという別ファイルで説明する
この部分はどう頑張っても環境やコードからは抽出できない
人間が記述するしかない
でもこれは「どう使ってるかの説明」であって、構成情報そのものではない
だからこそsbomの概念からは切り離すべきだと思うんだよ
VEXもSBOMとは別の形として存在してるやん?あんな感じsta.icon まあVEXも煩雑な規格だけど(それ実装してるCSAFも)