本报告是关于软件物料清单实践指南的总结。SBOM是一份正式规范且机器可读的软件组件清单,包含组件的依赖关系、层次关系以及相关信息。SBOM的价值在于提高软件透明度,降低网络安全风险和软件开发、采购和维护的成本。SBOM的组成要素包括供应商、组件名称、组件版本、其它唯一标识符、依赖关系、SBOM数据作者以及时间戳等元素的信息结构。SBOM的用例包括提高软件透明度、构建SBOM等。报告还介绍了SBOM的生命周期、常见问答、知产与保密、选择与决策、行业实践和发展趋势等内容。
