CISAのSBOM分類(6種)
https://www.cisa.gov/sites/default/files/2023-04/sbom-types-document-508c.pdf
Design
As a design
これからつくるソフトウェアで何使うかを考えて記したもの
作ったソフトウェアが何使ってるか、じゃなくて
「計画」とあるから、As a plan かもしれないsta.icon
というかそうだと思う
TDDのようにdesignレベルで使ってる組織、まだないだろ
でもin-totoみたいなのもあるし、ある、のか?
Source
開発環境、ソースファイル、依存関係などから生成したもの
Build
ビルドプロセスの一環で生成されるもの
Source + 入力として「ビルドステップ中でつくったアーティファクト」「他のSBOM」「ビルドプロセスが使っているもの(ephemeral dataと書いてる)」も含む
Analyzed
アーティファクトを解析して生成されるもの
別名 3rd party SBOM
Deployed
システム上を走査して生成されるもの
rpmやappwiz.cplなどはここだよねsta.icon
Runtime
ソフトウェアを動かしている状態のシステムを計測して生成されるもの
Deployed + DLLみたいな外部呼び出しとか動的ロードも捕捉する
別名 Dynamic SBOM、Instrumented SBOM
sta.icon
やっぱり design じゃなくて plan だと思う
3rd party SBOMのネーミングは気に入らない
リバースエンジニアリングみがあると思うのでそういうニュアンスが欲しい
BuildとRuntimeみたいに「他の分類に加えて」なやつがあるな
分類として綺麗じゃない
分類つくるときA,B,C(B+B'),D,E(D+D')みたいなことしないで
俺だったらBuildは「Sourceは含まずにビルド環境やプロセスで使われている部分」にするし、Runtimeは「Deployedは含まずに単にアプリXを動かしてるときにXが動的に使ってる部分」にする