TLDR:
Yazılım Malzeme Listesi (Software Bill of Materials, SBOM), bir yazılım ürünü oluşturmak için kullanılan tüm yazılım bileşenleri, kütüphaneler ve bağımlılıkların—üçüncü taraf açık kaynak bileşenleri, sürümleri ve lisansları dahil—resmi, makine okunabilir bir envanteridir. SBOM’lar tedarik zinciri güvenliği, açık yönetimi ve lisans uyumu için temeldir.
SBOM’lar Neden Önemli
Modern yazılım kapsamlı açık kaynak bağımlılıklardan inşa edilir—tipik bir uygulama yüzlerce veya binlerce üçüncü taraf kütüphane içerir. Yaygın olarak kullanılan bir bileşende bir açık ortaya çıktığında (2021 sonunda Log4Shell milyonlarca uygulamayı etkiledi), kuruluşların hangi ürünlerin etkilendiğini hızlıca belirlemesi gerekir. SBOM’lar olmadan bu analiz günler veya haftalar alır; SBOM’larla, dakikalar içinde yapılabilir. SBOM’lar ayrıca lisans uyum doğrulamasını mümkün kılar—istenmeyen yükümlülükler dayatabilecek GPL lisanslı kodu tanımlama.
Formatlar ve Standartlar
İki büyük SBOM formatı baskındır: SPDX (Software Package Data Exchange, ISO/IEC 5962:2021, Linux Foundation tarafından desteklenir) ve CycloneDX (zengin açık takibi ile OWASP tarafından geliştirilen). Her ikisi de makine okunabilir (JSON, XML, vb.) ve otomatik araçları destekler. Üretim birden çok noktada yapılabilir: kaynak düzeyi (kaynak kodu bağımlılıklarını analiz etme), derleme zamanı (derlemelerde gerçekten neler dahil olduğunu yakalama) ve ikili düzey (derlenmiş eserleri analiz etme).
Düzenleyici ve Müşteri Gereksinimleri
SBOM gereksinimleri hızla çoğalmıştır: ABD Yürütme Emri 14028 (Mayıs 2021) federal yazılım satıcıları için SBOM gerektirir; AB Siber Dayanıklılık Yasası dijital öğeleri olan ürünler için SBOM zorunlu kılar (Aralık 2027’den itibaren yürürlüğe giriş); FDA tıbbi cihazlar için SBOM gerektirir; büyük kuruluşlar satın almada giderek artan biçimde SBOM gerektirir. Üretim araçları Syft, Trivy, Anchore ve platforma özgü araçları (npm, Maven, pip SBOM’lara dönüştürülebilecek yerel bağımlılık manifestleri üretir) içerir.
Türk Pazarı İçin Önemi
Türk yazılım şirketleri için, AB’ye ihracat artışı SBOM gereksinimlerini öne çıkarır. Türkiye’nin kendi siber güvenlik düzenlemesi olgunlaştıkça benzer gereksinimler beklenmelidir.