軟體物料清單

物料清單 (BOM) 是製造產品所需材料、零件及其各自數量的列表。例如，計算機的 BOM 可能列出主機板、CPU、RAM、電源、儲存裝置、機箱和其他元件，以及構建計算機所需的每種元件的數量。

軟體物料清單 (SBOM) 是構成一段軟體的所有元件的列表。這包括開源和第三方元件，以及為軟體編寫的任何自定義程式碼。SBOM 類似於物理產品的 BOM，但針對軟體。

在軟體供應鏈安全方面，SBOM 可以幫助識別和緩解軟體中的安全和合規風險。透過準確瞭解軟體中使用的元件，您可以快速識別並修補元件中的漏洞，或者確定元件的許可證是否與您的專案不相容。

SBOM 的內容

SBOM 通常包括以下資訊：

Docker Scout 使用 SBOM 來確定 Docker 映象中使用的元件。當您分析映象時，Docker Scout 將使用附加到映象的 SBOM 作為證明，或者透過分析映象內容即時生成 SBOM。

SBOM 與安全公告資料庫交叉引用，以確定映象中的任何元件是否存在已知漏洞。