Сет Майкл Ларсон: Данные спецификации программного обеспечения (SBOM) по PEP 770 из PyPI, Fedora и Red Hat

Автор PEP 770 предложил новое стандартизированное местоположение для данных Software Bill-of-Materials в архивах Python wheel. Предлагаемое местоположение находится в каталоге (package)-(version).dist-info/sboms/. Этот метод определения метаданных на основе файлов считается отличным, поскольку не требует создания нового поля метаданных и версии. Спецификация PEP 770 доступна на packaging.python.org и была опубликована, что позволяет включать данные SBOM в архивы Python wheel. С момента публикации произошло несколько событий, включая принятие новой версии auditwheel образами manylinux. Новая версия auditwheel автоматически генерирует данные SBOM и включает их в указанное PEP 770 местоположение. В результате многие проекты на PyPI теперь поставляют данные SBOM в своих wheels, включая 10 самых загружаемых проектов, таких как greenlet, numba и pymssql. RedHat и Fedora также приняли PEP 770, чтобы уменьшить ложноположительные результаты при сканировании уязвимостей, определяя фактический правильный URL пакета для установленного пакета в SBOM. Ожидается, что внедрение PEP 770 будет продолжать расти, и больше проектов, вероятно, потребуют данные SBOM о своих связанных зависимостях. Автор продолжит следить за ростом показателей со временем и призывает к обратной связи по этому подходу от использующих инструментов.