SBOP
基本的な発想
1 コンポーネント情報は中央データベースに集める
Synopsis社がBDSAを持っていたりするけど、これのもっとワイドでオープンなバージョン
GitHubを世界中の開発者が使っているように、このデータベースも世界中から使われる
2 SBOPファイルではDBへのポインタ(リンク。できれば固有idが良い)だけ書く
ファイル自体のサイズはコンパクトになる
本当にやりたいこと
SBOPファイルがあれば、SBOMファイルもつくれる
要は「データベースからどういう情報を引っ張って、どういうフォーマットで並べるか」次第で何でもつくれる
SPDXでも、CycloneDXでも、他のフォーマットでも
SBOPは「最小限の情報(各コンポーネントを示すid)だけ出した版」と言える
フォーマットなんて各自が使いモンを使えばいいんだよsta.icon
統一する必要なんてねえ
データ自体は中央データベースにあります。これでいいだろsta.icon
俺がデジタル庁またはIPAで権限持ってたら、このデータベースをつくることに投資します