KAWAHARA-souta
commented
5 months ago あらためて考えなおすと(よく理解しているわけではないが)SBOMの思想的にユーザが勝手に任意の情報を乗っけるというのはずれているのか 対象にするシステムやアプリケーションがあって,その部品をできる限り忠実に記録するのがSBOMなので,ユーザーが指定したパッケージの情報だけを抽出するというのは考え方が逆.
これは実装するべきではなさそうかな.
cyclonedxではこれの実装に少し問題があるかもしれない.
現在のalma-sbomでパッケージSBOMを作成した場合,そのパッケージの情報はbom.metadata.componentに格納される. https://cyclonedx.org/docs/1.2/json/#metadata_component このフィールドは単一のオブジェクトなので,複数のパッケージの情報を含めることはできない.
では複数のパッケージの情報を含めるビルドSBOMではどうしているかというと,このbom.metadata.componentには指定したビルドIDの情報が格納されており,そのビルドIDでビルドされたパッケージの情報はbom.componentsに格納される. https://cyclonedx.org/docs/1.2/json/#components
複数のパッケージを指定した場合,bom.componetsに各パッケージの情報を格納しなければならないのは確定だが,その時にはbom.metadata.componentに何を入れるべきかや,単一指定と複数指定で作成された際に差分を作るのかなどの問題がある.