Vem är ansvarig för att ta fram SBOM:en?

Den som utvecklar eller säljer programvaran. För egenutvecklad programvara är det utvecklingsteamet. För inköpta produkter ska SBOM efterfrågas av leverantören som en del av leveransen, ofta som krav i avtal eller upphandling.

Räcker det med SBOM för att vara säker?

Nej. SBOM är en förutsättning för att identifiera sårbara komponenter, men måste kompletteras med sårbarhetsskanning, patchhantering och en process för att agera på fynden.

Gå tillbaka

SBOM (Software Bill of Materials)

Vad är SBOM?

SBOM (Software Bill of Materials) är en strukturerad innehållsförteckning över alla komponenter, bibliotek och beroenden som ingår i en programvara. SBOM:en gör det möjligt att snabbt svara på frågan "har vi den här sårbara komponenten i vår miljö?" och är en grundpelare i modern leveranskedjesäkerhet.

Format och innehåll

Det finns två etablerade öppna SBOM-format:

SPDX: En ISO-standard som utvecklas av Linux Foundation.
CycloneDX: Ett OWASP-format som är vanligt i säkerhetsverktyg och fokuserar på sårbarhetshantering.

En komplett SBOM innehåller bland annat komponentnamn, version, leverantör, hash och kända beroenden – ofta med koppling till CVE-databaser för automatisk sårbarhetsanalys.

SBOM och regelverk

Krav på SBOM finns i flera regelverk och initiativ. EU:s Cyber Resilience Act (CRA) kommer att kräva SBOM för produkter med digitala element. NIS2 ställer indirekta krav genom kraven på leveranskedjesäkerhet, och amerikanska federala upphandlingar har sedan 2022 krävt SBOM från leverantörer.

SBOM:er genereras vanligen automatiskt i bygg-pipelinen via verktyg som Syft, Trivy, GitHub Dependency Graph eller leverantörens egna build-system. Värdet ligger inte i själva filen utan i hur den integreras med säkerhetsarbetet – exempelvis för att larma när en ny sårbarhet i en beroende komponent upptäcks.

Vad är SBOM?

Format och innehåll

SBOM och regelverk

Andra relevanta ord i samma kategori