机构名称:
¥ 4.0
随着许多大规模的供应链攻击和在开源第三方包装中发现的大规模供应链攻击和漏洞之后,关于软件材料账单(SBOM)的讨论增加了。但是,在整个软件社区可以完全收获SBOM提供的好处之前,还有很多事情要做。本论文的目的是研究开源软件(OSS)社区在采用SBOMS以及现有SBOMS如何发展,重点关注软件包数据交换(SPDX)格式的程度。为了这项调查,进行了一项档案研究,在GitHub上的OSS项目中寻找SBOM并分析其内容和进化。这是对OSS项目中SBOM的第一个大规模搜索之一,目的是研究SBOM的实践。只有一小部分被检查的存储库包含一个SBOM,其中大多数是在GO项目中发现的。SBOM可以在存储库的源代码中找到,但是大多数是在发行版中的资产中找到的。总体而言,使用最新的SPDX格式经常更新SBOM,并且大多数与内容的质量保持一致。
了解供应的软件材料法案 -
主要关键词
相关文件推荐
