Содержание
Современное программное обеспечение редко создается с нуля. Более 90% современных приложений содержат компоненты с открытым исходным кодом. При этом 74% таких приложений используют библиотеки с известными уязвимостями или устаревшими версиями без поддержки. Без точного учета этих компонентов невозможно контролировать ни безопасность, ни лицензионные обязательства.
Именно для решения этой задачи существует SBOM — Software Bill of Materials, своеобразный «список ингредиентов» для программного продукта. В статье разберем новые требования американских регуляторов 2025 года, международные инициативы и практические инструменты генерации SBOM.
Что такое SBOM и зачем он нужен в 2025 году
SBOM — это машиночитаемый файл в стандартизированном формате (JSON, XML). Он содержит полный перечень компонентов программного продукта: библиотеки, фреймворки, модули и их зависимости.
SBOM работает как список ингредиентов на упаковке йогурта. Только вместо «молоко, сахар, закваска» в SBOM «React 18.2.0, Lodash 4.17.21, Axios 1.4.0» с указанием версий, лицензий и источников.
Цели SBOM: прозрачность и безопасность цепочек поставок
SBOM решает три ключевые задачи.
Управление уязвимостями. При обнаружении CVE (Common Vulnerabilities and Exposures — база данных известных уязвимостей) в популярной библиотеке мгновенно можно определить, затронуты ли продукты.
Лицензионный комплаенс. SBOM фиксирует лицензии всех компонентов и помогает избежать юридических рисков при использовании copyleft-лицензий (GPL, AGPL и подобных). Такие лицензии требуют раскрытия исходного кода производных продуктов — неожиданное обнаружение copyleft-компонента в коммерческом ПО может обернуться серьезными правовыми последствиями.
Прозрачность цепочки поставок. Понятно происхождение каждого компонента и можно оценить риски, связанные с конкретными поставщиками.
Новые требования к SBOM по обновлениям CISA и NTIA
CISA (Cybersecurity and Infrastructure Security Agency, Агентство по кибербезопасности и защите инфраструктуры США) опубликовало проект обновленных требований к SBOM. Документ 2025 Minimum Elements for a Software Bill of Materials развивает стандарт NTIA (National Telecommunications and Information Administration) 2021 года и отражает возросшую зрелость инструментов и практик. Именно NTIA в 2021 году по поручению Белого дома разработало первые минимальные требования к SBOM, которые легли в основу текущего стандарта.
Новый документ CISA сохраняет семь базовых элементов и добавляет четыре новых.
| Элемент | Описание | Статус 2025 |
| Supplier Name | Название поставщика компонента | Базовый |
| Component Name | Название компонента | Базовый |
| Version | Версия компонента | Базовый |
| Unique Identifier | Уникальный идентификатор (PURL, CPE) | Базовый |
| Dependency Relationship | Связи между компонентами | Базовый |
| Author of SBOM Data | Автор записи в SBOM | Базовый |
| Timestamp | Дата и время создания | Базовый |
| Component Hash | Криптографический хеш для верификации | Новый |
| License Information | Лицензия компонента | Новый |
| Tool Name | Инструмент генерации SBOM | Новый |
| Generation Context | Контекст создания (источник, сборка) | Новый |
Хеш компонента позволяет убедиться, что загруженная библиотека идентична оригиналу. Информация о лицензии критична для комплаенса. Название инструмента и контекст генерации помогают оценить полноту и достоверность SBOM.
SBOM как обязательный стандарт комплаенса для бизнеса
К 2025 году 60% организаций, работающих с критической инфраструктурой, требуют SBOM от поставщиков ПО. В 2022 году этот показатель составлял менее 20%. К 2028 году 85% команд разработки в крупных компаниях внедрят инструменты безопасности цепочки поставок. Это означает, что SBOM станет стандартной частью DevSecOps-процессов.
Интеграция с SCA и VEX
SBOM не работает изолированно. Максимальную ценность он приносит в связке с другими инструментами. SCA (Software Composition Analysis) автоматически сканирует SBOM на известные уязвимости. VEX (Vulnerability Exploitability eXchange) уточняет, какие из найденных CVE реально эксплуатируемы в конкретном контексте. Такая комбинация сокращает «шум» от сканеров и позволяет сосредоточиться на реальных рисках.
Глобальное видение: 15 стран за прозрачность
3 сентября 2025 года CISA (Cybersecurity and Infrastructure Security Agency) и NSA (National Security Agency) совместно с партнерами опубликовали документ A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity. Он призывает к повсеместному внедрению SBOM во всех секторах и странах, гармонизации технических подходов и интеграции SBOM в рабочие процессы безопасной разработки.Этот документ подписало 21 агентство из 15 стран.
| Страна | Агентство |
| США | CISA, NSA |
| Австралия | ASD ACSC |
| Канада | CCCS |
| Великобритания | NCSC-UK |
| Германия | BSI |
| Нидерланды | NCSC-NL |
| Новая Зеландия | NCSC-NZ |
| Япония | NISC, METI |
| Южная Корея | NIS |
| Чехия | NUKIB |
| Израиль | INCD |
| Сингапур | CSA |
| Италия | ACN |
| Финляндия | Traficom |
| ЕС | DG CONNECT (наблюдатель) |
Для производителей ПО SBOM демонстрирует зрелость процессов и упрощает выход на регулируемые рынки. Для покупателей — обеспечивает прозрачность и возможность быстро реагировать на инциденты. Для регуляторов — создает основу для координированного управления уязвимостями на национальном уровне.
Как внедрить SBOM
SBOM — это файл в определенном формате, который могут читать и обрабатывать различные инструменты. Чтобы разные системы «понимали» друг друга, индустрия выработала три основных стандарта. Все они признаны американскими регуляторами и могут использоваться для соответствия требованиям.
CycloneDX — формат, разработанный сообществом OWASP (Open Web Application Security Project) специально для задач безопасности. Его главное преимущество — нативная поддержка VEX (Vulnerability Exploitability eXchange), то есть возможность указать прямо в SBOM, какие уязвимости реально эксплуатируемы в контексте, а какие — нет. Формат легковесный, хорошо подходит для автоматизации в CI/CD и активно развивается. Поддерживает JSON и XML.
SPDX (Software Package Data Exchange) — формат от Linux Foundation, который в 2021 году стал международным стандартом ISO/IEC 5962. Исторически создавался для управления лицензиями в open source проектах, поэтому его сильная сторона — детальная информация о лицензионных условиях каждого компонента. Если задача — юридический аудит перед сделкой M&A или проверка совместимости лицензий, SPDX будет оптимальным выбором.
SWID (Software Identification Tags) — стандарт ISO/IEC 19770-2, изначально разработанный для управления IT-активами в крупных организациях. SWID-теги помогают отслеживать, какое ПО установлено на корпоративных устройствах. Для задач безопасности и анализа зависимостей используется реже, чем CycloneDX и SPDX.
| Формат | Разработчик | Лучше всего подходит для | Форматы файлов |
| CycloneDX | OWASP | Безопасность, DevSecOps, CI/CD | JSON, XML |
| SPDX | Linux Foundation | Лицензионный аудит, M&A, комплаенс | JSON, XML, RDF, YAML |
| SWID | ISO/IEC | Управление IT-активами | XML |
Если SBOM внедряется для управления уязвимостями и интеграции в процессы разработки — лучше начать с CycloneDX. Если основная цель — лицензионный комплаенс или подготовка к юридической проверке — SPDX. Форматы взаимно конвертируемы.
Генерация и автоматизация
Ручное создание SBOM нереалистично для современных проектов с сотнями зависимостей. Автоматизация — единственный путь. OpenSSF рекомендует cdxgen как наиболее надежный инструмент для мультиязычных проектов. Для проектов на одном языке лучше использовать специализированные инструменты экосистемы.
| Инструмент | Языки | Формат | Лицензия |
| cdxgen | 20+ языков | CycloneDX | Apache 2.0 |
| npm-sbom | JavaScript/Node.js | CycloneDX, SPDX | MIT |
| cyclonedx-maven-plugin | Java (Maven) | CycloneDX | Apache 2.0 |
| Syft | Контейнеры, 15+ языков | CycloneDX, SPDX | Apache 2.0 |
Соответствие Executive Order 14028
Для поставщиков федеральному правительству США SBOM обязателен с 2022 года. NIST определяет три уровня зрелости. Базовый уровень — соответствие минимальным элементам NTIA. Рекомендуемый — добавление контекста, хешей, информации о лицензиях. Продвинутый — интеграция с VEX, автоматический мониторинг, двусторонний обмен данными.
Часто задаваемые вопросы
Какой формат SBOM выбрать?
Для безопасности и DevSecOps — CycloneDX. Для лицензионного комплаенса и M&A due diligence — SPDX. Оба формата взаимно конвертируемы.
Нужен ли SBOM для внутренних систем?
Да. Внутренние системы также подвержены уязвимостям в зависимостях. SBOM для внутренних систем ускоряет реагирование на инциденты.
Как часто нужно обновлять SBOM?
При каждом релизе или значительном изменении зависимостей. Автоматизация через CI/CD делает это практически бесшовным процессом — ключевой элемент безопасной разработки по принципу Secure by Design.
Освойте цифровое право на практике. «Юрист в сфере IT» — это 73 урока, практические вебинары и разборы реальных кейсов, которые помогут уверенно работать с IT-задачами.
