1、BOM是啥?
物料清单(Bill of Material,Bom),采用计算机辅助企业生产管理,首先要使计算机能够读出企业所制造的产品构成和所有要涉及的物料,为了便于计算机识别,必须把用图示表达的产品结构转化成某种数据格式,这种以数据格式来描述产品结构的文件就是物料清单,即是Bom。它是定义产品结构的技术文件,因此,它又称为产品结构表或产品结构树。在某些工业领域,可能称为“配方”、“要素表”或其它名称。(这个百度上已有很多解释了)
按照用途又可以分为:EBOM、PBOM、MBOM三大类,并细分出了工程BOM、工艺、设计、制造、客户、维修 BOM六种。了解工艺的人会更加清楚
2、SBOM是啥?
软件物料清单。当前不仅制造业意识到物料清单的必要性,软件行业为保障软件安全性也逐步开始采用 SBOM,以提高软件供应链的透明度,识别软件组件。
从国外来看美国欧盟等国家已经在有相关的供应链政策发布,并且美国已经率先将供应链安全上升至国家战略层面,从2008年以颁布多个供应链风险管控体系,控制国家安全。
从目前软件研发行业来看,开源也是大势所趋,在各行各业的代码库中开源代码数量占比居高不下,不容忽视企业,对开源软件的治理是不可避免的,并且需要重点关注数据安全风险,合规和知识产权风险运维和管理风险三大类。从软件系统的组成成分来看,国内现代的程序大部分是来源于开源软件组合,而SBOM可以表示出应用程序中所包含的软件组件,包括开源的专有的或第三方,并且能详细说明其来源许可以及安全属性。从软件的关联关系来看,一个软件系统的组成