美國白宮發出行政命令，要求所有向聯邦政府出售的軟體都必須提供「軟體物料清單」（Software Bill of Materials，簡稱 SBOM）。就像是食品標籤上的成分標示，載明軟體的組成、內部模組和完整的供應鏈；更具體來說，根據美國商務部和國家電信暨資訊管理局（NTIA）的公告，合格的 SBOM 在資料欄位上，至少必須涵蓋軟體內所有成分的供應商、名稱、辨識碼、版本、彼此間依賴關係、作者等內容。

(From: https://lab.ocf.tw/2021/09/02/sbom/)

Black Duck 的 SBOM 匯出功能可以讓使用者遵循標準、建立客戶信任、並將安全性納入其軟體供應鏈中。

保障應用程式安全是必要的一步，就算應用程式的開發經過了很多人的手，也要評估每一個組件的供應鏈。如果供應鏈中有任何隱藏的地方，就很難有信心評估應用程式所面臨的風險數量。通過建立軟件物料清單 (SBOM)，開發組織可以向自己和消費者提供關於特定應用程式風險相關信息的重要資訊。從而，他們更有能力避免並回應安全漏洞和政策違規的情況。

通過 SBOM 符合標準並建立信任

Black Duck® 通過允許用戶快速建立和導出以 SPDX 和 CycloneDX 等格式的 SBOM，使得用戶能夠更容易地保障軟件供應鏈。這些標準化的 SBOM 格式提供了符合 NIST 標準的所需信息，如行政命令 14028 中所提到的。這項行政命令旨在在政府和私營部門之間提供更多關於軟件安全的透明度。實現透明度的步驟之一是要求供應商以標準、可機器讀取的格式向產品購買者提供 SBOM。
儘管行政命令只適用於美國聯邦政府採購和運營的軟件，但我們有充分的理由期望它的某些方面，如 SBOM 要求，將成為整個軟件開發行業的事實標準。今天準備生成最準確和符合要求的 SBOM 是贏得消費者信任的重要一步。

使用 Black Duck 導出 SBOM

當用戶使用 Black Duck 掃描項目或應用程序時，他們會收到一個儀表板，顯示所有已識別的軟件組件。這個列表中包括有關每個組件的許可證和關係等詳細信息。由於 SBOM 最簡單的定義是軟件的一份成分清單，因此這個儀表板是生成此類清單的最直觀的地方。用戶只需導航到“報告”選項卡，選擇創建 SBOM 的選項，並選擇所需格式。在幾秒鐘內，項目的 SBOM 就已經創建並準備下載。

組件儀表板是我們的演示應用程序 Insecure Bank 的儀表板。您可以看到關於哪些依賴關係已被識別，它們如何被引入應用程序以及與它們相關的許可證的信息。看起來我們發現了一些有問題的 Log4j 版本！

在 Black Duck 中生成 SBOM 最困難的部分是決定使用哪種 NTIA-compliant 格式。

生成的任何報告或 SBOM 都會保存在「報告」選項卡中。這有助於提供單一真實消息來源，並且更容易跟踪隨著時間推移這些 SBOM 的差異。

無論您是選擇 SPDX 還是 CycloneDX，所產生的 SBOM 都將是一個 JSON 檔案。這有助於保持標準和機器可讀性。有無數的 JSON 檢視程式可用。以下是在 Firefox 中我們產生的 SBOM 的示例，Firefox 已為我們格式化了它。在此片段中，您可以看到這些有問題的 Log4J 組件，以及類似授權的其他資訊。