_CORE
Služby
AI & Agentic Systems Core Informační Systémy Cloud & Platform Engineering Data Platforma & Integrace Security & Compliance QA, Testing & Observability IoT, Automatizace & Robotika Mobile & Digital
Odvětví
Banky & Finance Pojišťovnictví Veřejná správa Obrana & Bezpečnost Zdravotnictví Energetika & Utility Telco & Média Průmysl & Výroba Logistika & E-commerce Retail & Loyalty
Reference Technologie Blog Knowledge Base O nás Spolupráce Kariéra
Pojďme to probrat

SBOM generování — Software Bill of Materials

01. 01. 2024 1 min čtení intermediate

SBOM je seznam všech komponent vašeho software. Povinný pro US federal contractors, užitečný pro všechny.

Formáty

  • SPDX: Linux Foundation standard
  • CycloneDX: OWASP standard, security-focused

Generování

Syft — universální

syft . -o spdx-json > sbom.spdx.json syft . -o cyclonedx-json > sbom.cdx.json syft myapp:latest -o spdx-json # Docker image

Trivy

trivy fs –format spdx-json -o sbom.json .

npm

npx @cyclonedx/cyclonedx-npm –output-file sbom.json

Využití SBOM

  • Vulnerability matching (grype sbom.json)
  • Licence compliance
  • Incident response — rychlá identifikace postižených systémů
  • Regulatory compliance (EU CRA, US EO 14028)

Klíčový takeaway

Generujte SBOM automaticky v CI/CD. CycloneDX pro security, SPDX pro licence. Bude povinný.

securitysbomsupply chaincompliance

Další know-how

Supply Chain Security — SLSA, Sigstore a software provenance

Zabezpečení software supply chain. SLSA framework, Sigstore pro podepisování artefaktů a SBOM v CI/CD.

SBOM a software supply chain security — ochrana dodavatelského řetězce

Software supply chain security v roce 2026: SBOM, SLSA framework, dependency management a jak se chránit před útoky...

Log4Shell — poučení z nejhorší zranitelnosti dekády

CVE-2021-44228 a co jsme se naučili. SBOM, dependency scanning, incident response a supply chain security.