汽车备件SBOM 实践和流程

汽车备件SBOM 实践和流程 最后一组SBOM最低要求元素涉及生成和申请SBOM的具体操作。具体而言，实践和流程部分包括以下6个方面的要求：

频率（Frequency）： NTIA规定，“如果软件组件随着新的构建或发布而更新”，企业应该生成新的SBOM。此外，供应商在以下情况下也需要生成新的SBOM：

1）需要纠正原始版本中的错误

2）了解有关软件组件的新细节

深度（Depth）： 合规的SBOM需要包含：

1）所有顶层组件

2）所有间接依赖关系。如果SBOM作者不能包含所有间接依赖关系，则需要囊括足够的信息，使消费者可以递归地找到他们。

已知的未知因素（Known Unknowns）： 在SBOM作者没有提供完整的依赖关系图的情况下，他们需要说明这是因为：

1）该组件没有进一步的依赖关系，或者

2）不知道是否存在其他的依赖关系。

分发和交付： 这一部分分为几个环节，都是关于确保SBOM以可消化的格式快速交付。首先，SBOM被要求以“及时”的方式提供（尽管没有设定天数或周数）。其次，他们必须有“适当的”角色和访问权限。最后，SBOM可以与产品的每个实例一起分发或者以其他可访问的方式提供，如公开的网站。

访问控制： 如果供应商想将SBOM数据的访问限制在某些客户或用户，他们需要提供这种访问控制的条款。此外，供应商需要提供 “具体的允许和便利”，以便SBOM消费者能够将数据纳入其安全工具。

容错程度： 网络安全行政命令和指导SBOM创建的法规目前尚不成熟，因此，各组织被指示要对（无意的）错误或遗漏给予理解。