The SBOM Forumの資料から、SBOMの直近の動向と、それにかかわるCPEの話をします。(今回はnon-GPTなblogです) 概要 The SBOM Forumから出ていた “A Proposal to Operationalize Component Identification for Vulnerability Management”について、概要を説明しようかと思います。 これは、以下の点を理解するのに有効だと思うからです。 SBOMの普及で何が問題になっているのか CPEって、実は結構ダメなものでは?という感覚を共有する(分かったうえで使うのが良い) 当該Proposalの概要 おおよそ以下のような話だと思ってよいと思います。 SBOM利用の大きな阻害原因は、naming problem(名前付け問題) naming problemとは、普遍的に合意された名前が無い為