软件供应链

软件供应链是用于构建软件应用程序的组件、库和工具的列表。软件供应商通常通过组装开源和商业软件组件来创建产品。物料清单 (SBOM) 声明了该供应链的部分或大部分。SBOM 描述了产品中的组件。它类似于食品包装上的成分清单：您可能会查阅标签以避免可能导致过敏的食物，SBOM 可以帮助组织或个人避免使用可能伤害他们的软件。

作为供应链管理的一部分，BOM 的概念在传统制造业中得到了广泛认可。制造商使用 BOM 来跟踪其用于创建产品的部件。如果稍后在特定零件中发现缺陷，BOM 可以轻松找到受影响的产品。

SBOM 对软件产品的构建者（制造商）和购买者（客户）都很有用。构建者经常利用可用的开源和第三方软件组件来创建产品；SBOM 允许构建者确保这些组件是最新的并快速响应新的漏洞。购买者可以使用 SBOM 来执行漏洞或许可证分析，这两者都可以用来评估产品中的风险。

虽然许多公司只是使用 Microsoft Excel 文档进行一般 BOM 管理，但写入电子表格的 SBOM 中存在额外的风险和问题。当 SBOM 共同存储在可以成为其他自动化系统一部分的存储库中时，SBOM 将获得更大的价值，并且可以很容易地被其他应用程序查询。

了解软件供应链、获取 SBOM 并使用它来分析已知漏洞对于管理风险至关重要。