SBOM CycloneDX (SPDX)

cyclonedx, sbom, поибэ

0

1

Мы пишем наш видеостриминговый софт (flussonic) и продаем его on-premises, т.е. его ставят себе на свои сервера.

Безымянный банк просит прислать им описание нашей поставки софта (SBOM) в CycloneDX формате. Идея для меня новая, но выглядит вообще довольно вменяемо и интересно.

Вопрос 1: это вообще нужно, или это просто прикольная идея?

На практике это работает?

Вопрос 2: какая нормальная практика доставки этого описания до цифрового КПП? Файл в пакете, урл на запущенном софте?

←	Помогите разобраться с Qt5 LGPLv3.

Как в git'е перейти с одного дерева на другое с сохранением истории?

→

вона, для джавы даже плагинчики есть https://foojay.io/today/how-to-create-sboms-in-java-with-maven-and-gradle/

это вообще нужно

безопасникам

На практике это работает?

зависит от тех же безопасников. используется для «автоматического поиска уязвимостей». Ну, как поиска… Известно, что в такой-то версии либы есть CVE номер такой-то. Ваш билд использует эту версию, а, следовательно, уязвим.

практика доставки

я за «файл в пакете», иначе как инспектировать-то? «не запустишь - не узнаешь»? ;)

вот такая штука еще попалась, пока освежал тему: https://github.com/nexB/scancode-toolkit

aol ★★★★★
(19.12.23 11:20:37 MSK)
Последнее исправление: aol 19.12.23 11:31:07 MSK (всего исправлений: 1)

Ответ на: комментарий от aol 19.12.23 11:20:37 MSK

спасибо!

max_lapshin ★★★★★
(19.12.23 16:58:17 MSK) автор топика

←	Помогите разобраться с Qt5 LGPLv3.

Development

Как в git'е перейти с одного дерева на другое с сохранением истории?

→

Похожие темы