GitHubのDependabot

GitHub上で開発をしているのであれば、Dependabotによる脆弱性検知をまず最優先で有効化してください。脆弱性検知の観点では、SBOM管理のソリューションを新たに導入するメリットはほぼないと思います。

脆弱性管理の点ではDependabotアラートだけでは難しい状況がありました。実運用では「必ずしもライブラリのバージョンを上げたくない」ケースがあり、その場合は分散したレポジトリをアナリストが継続的に監視する必要があります。また、複数のレポジトリを横断する分析もGraphQLだけでは限界があり、アタックサーフェスマネジメントの点でも課題が残りました。

SBOMで始める脆弱性管理の実際 - NTT Communications Engineers' Blog