軟體物料清單

物料清單 (BOM) 是製造產品所需的材料、零件以及每種材料/零件數量的清單。例如，電腦的 BOM 可能會列出主機板、CPU、RAM、電源供應器、儲存裝置、機殼和其他組件，以及構建電腦所需的每個組件的數量。

軟體物料清單 (SBOM) 是構成軟體的所有組件的清單。這包括開源和第三方組件，以及為軟體編寫的任何自定義程式碼。SBOM 類似於實體產品的 BOM，但適用於軟體。

在軟體供應鏈安全的背景下，SBOM 可以幫助識別和減輕軟體中的安全和合規性風險。透過確切了解軟體中使用了哪些組件，您可以快速識別和修補組件中的弱點，或確定組件的授權方式是否與您的專案不相容。

SBOM 的內容

SBOM 通常包含以下資訊

Docker Scout 使用 SBOM 來確定 Docker 鏡像中使用的組件。當您分析映像時，Docker Scout 將使用附加到映像作為證明的 SBOM，或者它將透過分析映像的內容動態生成 SBOM。

SBOM 會與諮詢資料庫交叉參考，以確定映像中的任何組件是否存在已知弱點。