主要观点：闭源固件通常包含开源依赖项，如[EDK II]约 20 个不同项目，[coreboot]约 10 个项目且有部分重叠，将软件物料清单（SBOM）移到上游由写开源代码的团队维护更合理，提议以[CycloneDX]格式向每个上游项目提交sbom.cdx.json文件，可使用自动替换令牌，如@VCS_TAG@等，还以 fwupd 为例展示了sbom.cdx.json文件的内容及使用uswid命令进行处理的过程，最终可将准确的外部 SBOM 构建到固件二进制文件中。
关键信息：闭源固件与开源依赖项关系，[CycloneDX]格式及优势，自动替换令牌，fwupd 的sbom.cdx.json示例及处理命令。
重要细节：各上游项目提交sbom.cdx.json的位置要求，SPDX 格式的局限性，不同令牌的具体含义及作用，fwupd 相关文件的处理及合并等。