SBOMと各種実装
SBOMはあくまで規格
スキーマとしては「提供者名、作成者名、タイムスタンプ、コンポーネントのNarsion、コンポーネントの依存関係、idなどを最低限定義せい」くらい これを具体的に実装したものの中で有力候補がいくつかある
SPDXは、
コンポーネント名やらそれが含んでるファイル名やらスニペットやら何でもかんでも列挙させる方向性
レビュー記録(というよりコメント)をつけることができる
人間が手で書くのは無理ゲーなので、そうできるようにしたLite版もある
(本来は自動で生成するべきだが、まだまだ過渡期なので)
CycloneDXは、
ソフトウェアエンジニアが考えた実装だなって感じで、便宜上必要なクラスをポンポンつくる感じでデータ構造をポンポンつくってる
脆弱性情報など、便利そうな情報もガンガン取り入れてる感じ
たとえばEvidenceというlicenseとcopyrightからなるクラスがある SWIDは、
デバイスにソフトウェアXをインストールしたとき、Xであることを示すファイル(タグファイル)も置いちゃおうぜ、という発想
Xのタグファイルがある=Xがインストールされている、ということができる
言えるようにしたい
スキーマ的にはSBOMが定めてる程度の最低限レベル(依存関係はない)
が、原典見るのに金かかるので見れてない……sta.icon