SBOM (Software Bill of Materials) est comme une liste d'ingrédients pour votre artefact logiciel. Cela peut vous aider à identifier les dépendances tout au long de votre chaîne d’approvisionnement logicielle. Comme une liste d'ingrédients alimentaires, elle vous permet de voir s'il y a quelque chose dans ce logiciel auquel vous pourriez être « allergique » – qu'il s'agisse d'un package spécifique ou d'une licence de package spécifique.
Dans un monde où 80 % du code est open source et dont la provenance n'est pas claire, augmenter la visibilité de ce que vous obtenez ou livrez est très utile pour accroître la confiance dans les logiciels. Cette vidéo explique quelles sont les exigences minimales d'un SBOM, couvre certaines réglementations américaines récentes exigeant l'utilisation d'un SBOM et présente un outil open source pour créer des SBOM à partir d'images Docker.