세스 마이클 라슨: PyPI, Fedora, Red Hat에서 제공하는 PEP 770 소프트웨어 자재 명세서(SBOM) 데이터

PEP 770의 저자는 Python 휠 아카이브 내 소프트웨어 자재 명세서(SBOM) 데이터의 새로운 표준 위치를 제안했습니다. 제안된 위치는 (패키지)-(버전).dist-info/sboms/ 디렉토리입니다. 이 파일 기반 메타데이터 정의 방법은 새로운 메타데이터 필드와 버전을 생성할 필요가 없다는 점에서 훌륭하다고 평가받고 있습니다. PEP 770 사양은 packaging.python.org에서 확인할 수 있으며, Python 휠 아카이브에 SBOM 데이터를 포함할 수 있도록 게시되었습니다. 게시 이후, manylinux 이미지에서 새로운 auditwheel 버전을 채택하는 등 여러 발전이 있었습니다. 새로운 auditwheel 버전은 자동으로 SBOM 데이터를 생성하여 PEP 770에 지정된 위치에 포함합니다. 그 결과, PyPI의 많은 프로젝트들이 현재 휠에 SBOM 데이터를 포함하고 있으며, 가장 많이 다운로드된 상위 10개 프로젝트에는 greenlet, numba, pymssql 등이 포함됩니다. RedHat과 Fedora 또한 SBOM에 설치된 패키지에 대한 실제 올바른 패키지 URL을 정의하여 취약점 스캔에서 오탐을 줄이기 위해 PEP 770을 채택했습니다. PEP 770의 채택은 계속 증가할 것으로 예상되며, 더 많은 프로젝트가 번들된 종속성에 대한 SBOM 데이터를 요구할 가능성이 높습니다. 저자는 시간이 지남에 따라 증가하는 숫자를 계속 지켜볼 것이며, 소비 도구로부터 이 접근 방식에 대한 피드백을 장려하고 있습니다.