CycloneDX или SPDX: какой формат SBOM выбрать
CycloneDX и SPDX — два главных открытых стандарта SBOM (Software Bill of Materials, «ведомости состава ПО»). SPDX вырос в Linux Foundation и исторически силён в лицензионном комплаенсе и описании происхождения кода; CycloneDX создан в OWASP и заточен под безопасность цепочки поставки — уязвимости, VEX, связи между компонентами. Оба поддерживаются ведущими инструментами и взаимно конвертируются, поэтому «войны форматов» по факту нет. **Если коротко:** выбирайте SPDX, если в центре задачи — лицензии, юридический комплаенс и обмен данными о происхождении кода (а также там, где формат уже закреплён стандартом ISO/IEC 5962). Выбирайте CycloneDX, если приоритет — безопасность: учёт уязвимостей, VEX, анализ рисков и интеграция в DevSecOps-конвейер. На практике многие команды генерируют SBOM в обоих форматах. Сравнить поставщиков решений по управлению составом ПО можно в [рейтинге Software Supply Chain Security](/rating/software-supply-chain-sbom).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
author
Антон Смирнов
Старший редактор исследований ИБ-рынка
Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.
- 7 лет в SEO-аналитике и редакционных B2B-исследованиях
- Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T
author
Ирина Карпова
Редактор методологии и проверки источников
Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.
- 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
- Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Что такое SBOM и зачем вообще выбирать формат
SBOM — это машиночитаемый перечень всех компонентов, из которых собрано приложение: открытые библиотеки, зависимости, версии, лицензии, а в идеале и сведения о происхождении и известных уязвимостях. Без такой «ведомости состава» невозможно быстро ответить на вопрос «затронуты ли мы очередной критичной уязвимостью в популярной библиотеке» — а именно скорость ответа определяет ущерб.
Формат SBOM — это то, в каком виде этот перечень записан и передаётся между инструментами: сканером, репозиторием, системой управления уязвимостями, заказчиком. Если формат не согласован, SBOM превращается в файл, который никто не может надёжно прочитать. Поэтому выбор между CycloneDX и SPDX — не вкусовщина, а вопрос совместимости с вашим тулчейном, требованиями заказчиков и регуляторов.
Происхождение: OWASP против Linux Foundation
Два формата выросли из разных сообществ, и это во многом объясняет их сильные стороны.
- **SPDX** появился в Linux Foundation как стандарт описания состава и лицензий ПО. Он давно используется в open-source-экосистеме для лицензионного комплаенса, а в 2021 году был принят как международный стандарт **ISO/IEC 5962:2021** — это весомый аргумент там, где нужна формальная стандартизация. - **CycloneDX** создан в рамках **OWASP** — сообщества, сфокусированного на безопасности приложений. Формат изначально проектировался под задачи цепочки поставки: учёт уязвимостей, обмен статусами эксплуатируемости (VEX), описание сервисов и связей между компонентами. Спецификацию и сопутствующие материалы публикует [OWASP](https://owasp.org/).
Разное «родительство» не делает один формат лучше другого в вакууме — оно делает их по-разному удобными под разные задачи.
Сильные стороны каждого формата
Ниже — не рейтинг, а ориентир, под какие задачи каждый формат заходит естественнее.
- **SPDX силён в:** лицензионном комплаенсе (стандартизированный список SPDX-лицензий), описании происхождения и взаимоотношений между файлами и пакетами, формальной стандартизации (ISO/IEC 5962), обмене SBOM в традиционной open-source-экосистеме. - **CycloneDX силён в:** безопасности цепочки поставки — нативная поддержка перечня уязвимостей и VEX, описание не только пакетов, но и сервисов, машиночитаемые связи компонентов, удобство интеграции в CI/CD и DevSecOps-конвейеры, поддержка форматов не только для ПО, но и для аппаратных и ML-компонентов.
CycloneDX vs SPDX: сравнение форматов
| Критерий | CycloneDX | SPDX |
|---|---|---|
| Происхождение | OWASP (безопасность приложений) | Linux Foundation |
| Главный фокус | Безопасность цепочки поставки | Лицензии и происхождение кода |
| Стандартизация | Спецификация OWASP, развитая экосистема | Международный стандарт ISO/IEC 5962:2021 |
| Уязвимости / VEX | Нативная поддержка | Через расширения, исторически слабее |
| Лицензионный комплаенс | Поддерживается | Сильная сторона, стандартный список лицензий |
| Форматы файлов | JSON, XML, Protobuf | JSON, YAML, RDF, tag-value, XLSX |
| Охват компонентов | ПО, сервисы, оборудование, ML | Преимущественно ПО и файлы |
| Типичный пользователь | DevSecOps, AppSec, управление рисками | Open-source-комплаенс, юристы, OSPO |
Пригодность форматов SBOM под типовые задачи
Усреднённая редакционная оценка пригодности формата под класс задач по открытым данным. Это не вендорский бенчмарк и не заменяет проверку на вашем тулчейне.
Форматы SBOM: коротко в фактах
CycloneDX и SPDX — де-факто стандарты рынка
Закрепляет именно SPDX
Фокус на безопасности приложений
Существуют инструменты перевода между форматами
Поддержка инструментами и совместимость
Оба формата широко поддержаны в экосистеме: генераторы SBOM, сканеры зависимостей, системы управления уязвимостями и репозитории артефактов как правило умеют и читать, и выгружать оба. Многие инструменты позволяют сгенерировать SBOM сразу в CycloneDX и в SPDX, а также конвертировать один формат в другой — пусть и с возможной потерей части полей, специфичных для каждого стандарта.
Практический вывод: выбор формата редко «запирает» вас в одном инструменте. Гораздо важнее, чтобы выбранный формат покрывал поля под вашу главную задачу (уязвимости и VEX — или лицензии и происхождение) и совпадал с тем, что ожидают получить ваши заказчики и регуляторы.
Чек-лист выбора формата SBOM
Когда какой формат выбрать
Если вы строите программу безопасности цепочки поставки, внедряете SBOM в DevSecOps-конвейер и хотите автоматически связывать состав ПО с уязвимостями и статусами VEX — естественный выбор CycloneDX. Если ваша задача — лицензионный комплаенс, юридическая чистота open-source, обмен данными о происхождении кода и формальная стандартизация, то логичнее SPDX.
В большинстве зрелых процессов ответ — «оба»: SBOM генерируют в двух форматах под разные аудитории (служба безопасности и юридический/комплаенс-контур), а инструменты берут на себя конвертацию. Поэтому начинать стоит не с выбора формата, а с выбора инструментария, который надёжно покрывает оба стандарта.
Следующий шаг
Определились с форматом — переходите к выбору инструмента: **[рейтинг Software Supply Chain Security →](/rating/software-supply-chain-sbom)**. Полезно прочитать рядом: [SBOM на практике](/research/sbom-na-praktike), [рейтинг решений Supply Chain Security 2026](/research/rejting-supply-chain-security-2026) и [защита цепочки поставки в условиях импортозамещения](/research/supply-chain-importozameshchenie).
Частые вопросы
Чем CycloneDX отличается от SPDX простыми словами?
Это два формата записи SBOM. CycloneDX вырос в OWASP и заточен под безопасность — уязвимости, VEX, риски цепочки поставки. SPDX вырос в Linux Foundation, силён в лицензиях и описании происхождения кода и закреплён как международный стандарт ISO/IEC 5962.
Какой формат SBOM выбрать — один или оба?
Если можно, генерируйте оба: они закрывают разные задачи (безопасность против лицензионного комплаенса), а инструменты умеют конвертировать между ними. Выбирать один формат имеет смысл, когда требования заказчика или тулчейна жёстко заданы.
Можно ли конвертировать SBOM из CycloneDX в SPDX и обратно?
Да, существуют инструменты конвертации в обе стороны. Нужно учитывать, что специфичные для каждого формата поля при конвертации могут теряться, поэтому критичные данные стоит проверять после преобразования.
Какой формат лучше для импортозамещения и требований регуляторов?
Сам формат SBOM нейтрален к стране. Важнее, чтобы выбранное решение по управлению составом ПО присутствовало в реестре отечественного ПО и при необходимости имело сертификат ФСТЭК под вашу задачу, а формат поддерживал то, что ожидают ваши заказчики.
Где сравнить конкретные решения для работы с SBOM?
В рейтинге Software Supply Chain Security — там поставщики ранжированы по подтверждённым сигналам, а не по маркетингу.
Источники и метод проверки
CycloneDX и SPDX — два главных открытых стандарта SBOM (Software Bill of Materials, «ведомости состава ПО»). SPDX вырос в Linux Foundation и исторически силён в лицензионном комплаенсе и описании происхождения кода; CycloneDX создан в OWASP и заточен под безопасность цепочки поставки — уязвимости, VEX, связи между компонентами. Оба поддерживаются ведущими инструментами и взаимно конвертируются, поэтому «войны форматов» по факту нет. **Если коротко:** выбирайте SPDX, если в центре задачи — лицензии, юридический комплаенс и обмен данными о происхождении кода (а также там, где формат уже закреплён стандартом ISO/IEC 5962). Выбирайте CycloneDX, если приоритет — безопасность: учёт уязвимостей, VEX, анализ рисков и интеграция в DevSecOps-конвейер. На практике многие команды генерируют SBOM в обоих форматах. Сравнить поставщиков решений по управлению составом ПО можно в [рейтинге Software Supply Chain Security](/rating/software-supply-chain-sbom).