新平台sbomify发布，旨在简化SBOM处理与分发

近日，一个名为sbomify的新平台正式发布，旨在解决企业在处理和分发软件物料清单（SBOM）时遇到的困难。随着行业监管要求的不断增加，sbomify的目标是简化和自动化SBOM流程。

SBOM的重要性

SBOM包含了软件开发过程中使用的库和工具等软件组件列表。在美国政府“安全设计（Secure by Design）”框架等网络安全举措的推动下，SBOM在公共和私营部门中的应用愈发重要。SBOM能够提供对依赖关系的洞察，帮助识别漏洞和潜在的许可证问题，从而减少软件供应链攻击带来的潜在成本和声誉损害。

现有工具的局限性

虽然市场上已有独立的SBOM生成工具，但许多公司仍依赖手动流程进行SBOM管理，这些方法在现代持续集成和持续部署（CI/CD）环境中显得过时且效率低下。传统SBOM共享方式（如电子邮件或内部文件服务器）不仅低效，还容易出错。

sbomify的创新之处

sbomify的开发者Viktor Petersson观察到，许多公司，尤其是在受监管行业中的公司，难以跟上SBOM的需求。sbomify通过与CI/CD管道直接集成，自动上传每个新软件版本的最新SBOM，使利益相关者能够实时访问最新信息，从而消除了手动更新的需求，减少了使用过时文件的风险。

sbomify的功能与未来计划

sbomify允许公司邀请内部和外部利益相关者下载最新的SBOM，类似于“安全工件的statuspage.io”。未来，sbomify计划通过自动化流程简化SBOM的丰富和聚合，并与其他分析工具集成，成为SBOM分发的中心枢纽。此外，sbomify还计划引入组件、项目和产品的层次结构，以管理复杂系统中的多个SBOM。

其他工具与行业趋势

GitLab等平台公司已将SBOM功能集成到其DevSecOps工作流中。GitLab的依赖列表功能聚合了漏洞和许可证数据，并支持SBOM的生成、管理和合并。其他开源工具如Syft、Microsoft的SBOM工具和Trivy也提供了SBOM生成功能。

法规与合规的推动

Petersson指出，法规和合规要求将是推动企业采用SBOM的主要动力。美国行政命令14028已经要求向美国政府销售软件的供应商提供SBOM，而NIST的CSF 2.0和欧盟的《网络弹性法案》（CRA）也强调了软件透明度的必要性。

早期访问

企业可以通过Google表单申请sbomify的早期访问。