软件物料清单 (SBOM)
CRA的要求之一是编制SBOM,即采用通用机器可读格式的软件物料清单。该软件物料清单必须至少涵盖产品的所有直接依赖项。
手动生成准确的SBOM难以扩展规模,实现自动化势在必行。
欧盟CRA参考资料
附录I第二部分第1节
含数字元素的产品制造商应识别并记录带有数字化元素的产品中包含的漏洞和组件,包括以通用机器可读的格式起草一份软件物料清单(SBOM),该清单至少须涵盖产品的直接依赖项。
Qt框架亮点
自动生成 SBOM
Qt 6.8.0及以上版本可在构建流程中自动生成SBOM,用于漏洞检测、许可证合规审查、文件完整性校验及版权追踪。
Qt SBOM的技术基础
SBOM类型与格式多样,Qt采用高实用性的构建型SBOM(Build SBOM)。其数据源涵盖:源代码文件、依赖项信息、预置组件、动态构建过程数据及其他SBOM清单。
获取SPDX v2.3格式的SBOM
用户构建Qt Framework git仓库时,将获得符合SPDX v2.3标准的文档,支持tag:value与JSON双格式。使用在线安装程序时,SBOM将自动生成至专用目录。
Qt Group后续工作
为QQUL(Qt for MCUs)创建SBOM
为Axivion创建SBOM
为Squish创建SBOM
为Coco创建SBOM
更多SBOM相关信息
本页面及网站内容不构成法律意见,仅用于信息分享及议题讨论。内容可能随时变更,Qt Group不保证信息的准确性或时效性,亦不对任何外部链接网站的内容及运营负责。此处信息不可替代且不应被视为法律建议。