SBOM

Un SBOM (Software Bill of Materials, ou « nomenclature logicielle ») est un inventaire formel et machine-lisible de tous les composants — librairies, dépendances directes et transitives, versions, licences, hash — qui constituent un logiciel.

Il est devenu un élément central de la sécurité de la supply chain logicielle : sans SBOM, impossible de savoir rapidement si une nouvelle vulnérabilité (type Log4Shell) affecte vos applications. Avec un SBOM, on peut interroger automatiquement la liste des composants impactés.

Les formats standards sont SPDX (Linux Foundation) et CycloneDX (OWASP). Plusieurs réglementations rendent le SBOM obligatoire pour fournir certains marchés (Executive Order 14028 aux États-Unis, Cyber Resilience Act en Europe pour les produits comportant des éléments numériques).