SBOM（软件物料清单）是给定产品的中所有软件组件（专有和开源代码）、开源许可证和依赖项的清单。它提供了对软件供应链以及可能存在的任何许可证合规性、安全性和质量风险的可见性。

由于当今的应用程序通常由许多单独的组件构建，通常来自各种开源或专有源码包，因此SBOM变得越来越重要和有价值。考虑到这些复杂性，涉及产品的组织和个人很难完全了解软件供应链以及可能存在的任何许可证风险。

而SBOM可以帮助企业快速识别和补救潜在的安全漏洞，满足许可要求，并应用版本控制最佳实践。此外，去年美国政府也就此颁布了一项条款，要求针对联邦政府出售产品的组织必须创建SBOM，以进一步提高安全性。

在本文中，我们将探讨与SBOM相关的所有内容，包括构成要素、优点、用例和工具模板。

2021年7月12日，美国联邦政府公布了软件材料法案的最低要求，这些指导方针目前只针对与联邦政府有业务往来的企业，但很明显，对于其他社会企业来说，这是迟早的事。

SBOM的最小组成要素分为三个领域：

数据字段：每个基于组件的软件工程的基线信息

自动化支持：以机器和人类可读格式自动生产SBOM的能力

实践和过程：如何以及何时生成和分发SBOM

1.数据字段

数据字段类别包括描述组成软件的组件的基本信息࿰