SBOM-EDI
L'inventaire structuré des dépendances logicielles — exigence Executive Order 14028.
Définition
Imposée par l'Executive Order 14028 (Biden, mai 2021) pour tout software acheté par le gouvernement US. Formats reconnus : SPDX 2.3 (ISO/IEC 5962:2021), CycloneDX 1.5 (OWASP), SWID (ISO/IEC 19770-2). Pour un éditeur EDI, génération SBOM CI à chaque build, scan vulnérabilités Grype/Trivy, signature Sigstore.
Origine
Concept ancien (RPM/DEB metadata années 1990) formalisé par NTIA en 2020-2021.
Exemple en contexte
Un translator EDIFACT publié avec un SBOM CycloneDX listant ses 247 dépendances Maven.
Termes liés
- Supply chain — sécurité chaîne logicielle.