исследование 3 июня 2026

SBOM на практике: как взять под контроль состав ПО

SBOM (Software Bill of Materials) — это «опись состава» программного продукта: машиночитаемый список всех компонентов, из которых собрано ПО, включая открытые библиотеки, их версии и лицензии. Зачем он нужен на практике, стало очевидно после Log4Shell: когда в популярной библиотеке находят критическую уязвимость, вопрос «а есть ли она у нас?» должен решаться за минуты, а не за недели ручной инвентаризации. **Если коротко:** SBOM превращает «чёрный ящик» поставляемого ПО в прозрачную опись, по которой можно быстро отвечать на уязвимости, контролировать лицензии и проверять цепочку поставки. Два рабочих стандарта формата — CycloneDX и SPDX; генерируются они автоматически на этапе сборки и хранятся как артефакт рядом с релизом. Ниже — что это даёт, как внедрить SBOM в пайплайн и на что смотреть. Сравнить поставщиков и решения по подтверждённым сигналам можно в [рейтинге Software Supply Chain Security](/rating/software-supply-chain-sbom).

7 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Антон Смирнов, Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: SBOM на практике: как взять под контроль состав ПО — Тематическая иллюстрация к исследованию: SBOM на практике: как взять под контроль состав ПО. Nemuel Sereti / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Антон Смирнов Старший редактор исследований ИБ-рынка

Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.

7 лет в SEO-аналитике и редакционных B2B-исследованиях
Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Что такое SBOM простыми словами

Современное приложение редко пишется «с нуля»: до 70–90% кодовой базы — это сторонние компоненты, открытые библиотеки и их транзитивные зависимости (зависимости зависимостей). Когда вы устанавливаете один пакет, он может тянуть за собой десятки других, о которых разработчик даже не знает. SBOM фиксирует этот граф целиком.

По смыслу это аналог состава на упаковке продукта: вместо «программа версии 4.2» вы получаете список вида «библиотека X версии 1.2.3, лицензия Apache-2.0, источник — такой-то репозиторий». Машиночитаемый формат принципиален: опись должен уметь читать не человек, а сканер, который сопоставит её с базами уязвимостей и лицензионных рисков автоматически.

Зачем SBOM нужен на практике

Главная ценность SBOM проявляется не в момент составления, а в момент инцидента. Когда объявляют новую критическую уязвимость в распространённой библиотеке, организации без SBOM тратят дни на то, чтобы понять, где именно у них стоит уязвимый компонент. С SBOM это запрос к описи: «покажи все продукты, где встречается библиотека Y версии ниже патча».

- **Реагирование на уязвимости.** История с Log4Shell (уязвимость в Log4j) показала: без описи состава ПО защитники не знают, где искать. SBOM сокращает время от новости до оценки воздействия с дней до часов. - **Прозрачность цепочки поставки.** Заказчик видит, из чего собран продукт поставщика, и может оценить риски ещё до закупки. - **Контроль лицензий.** Опись выявляет компоненты с несовместимыми или рискованными лицензиями до того, как они станут юридической проблемой. - **Обнаружение «закладок» и подмен.** Сверка SBOM сборки с эталоном помогает заметить неожиданно появившийся компонент.

Что даёт SBOM: зрелость практик по направлениям

Редакционная оценка готовности практики SBOM по направлениям применения (0–100) по открытым данным OWASP и индустриальным материалам. Это не вендорский бенчмарк.

Реагирование на уязвимости (VEX, поиск по описи) 85 /100

85 /100

Инвентаризация компонентов и зависимостей 85 /100

85 /100

Контроль лицензий открытого кода 80 /100

80 /100

Автоматическая генерация в пайплайне 75 /100

75 /100

Хранение и версионирование SBOM 65 /100

65 /100

Контроль целостности цепочки поставки 60 /100

60 /100

Применение SBOM: что и зачем

Таблица ниже связывает типичные сценарии использования SBOM с тем, какую пользу они приносят на практике. Это ориентир для приоритизации: с чего начать внедрение в зависимости от ваших задач.

Применение SBOM	Что это даёт на практике
Поиск уязвимых компонентов	За минуты понять, затронут ли вас новый CVE (как с Log4Shell)
Инвентаризация зависимостей	Полный граф компонентов, включая транзитивные, без ручной разметки
Проверка лицензий	Выявление несовместимых или запрещённых лицензий до релиза
Оценка поставщика	Прозрачность состава ПО ещё до закупки и приёмки
Контроль целостности сборки	Сверка состава релиза с эталоном, обнаружение лишних компонентов
Соответствие требованиям	Документированная опись для аудита и приёмки заказчиком

Форматы SBOM: CycloneDX и SPDX

На практике используются два открытых стандарта. **CycloneDX** развивается под эгидой OWASP и изначально ориентирован на безопасность: помимо состава компонентов он описывает уязвимости, сервисы и расширения вроде VEX (информация о применимости уязвимости к продукту). **SPDX** — стандарт, выросший из задач лицензионного комплаенса и принятый как международный стандарт; силён в описании лицензий и происхождения кода.

Практический вывод: для задач безопасности и реагирования на уязвимости чаще выбирают CycloneDX, для лицензионного учёта и поставки заказчику с жёсткими требованиями к стандартизации — SPDX. Многие инструменты умеют генерировать оба формата, поэтому привязываться к одному не обязательно. Подробное сравнение — в материале [CycloneDX или SPDX](/research/cyclonedx-vs-spdx).

Как внедрить SBOM в пайплайн: 6 шагов

01 Выбор формата и инструмента
Определитесь с CycloneDX или SPDX (или обоими) и подберите генератор под ваши языки и сборку.
02 Генерация на этапе сборки
Встройте создание SBOM в CI/CD, чтобы опись собиралась автоматически на каждый билд, а не вручную.
03 Сканирование на уязвимости
Сопоставляйте свежий SBOM с базами уязвимостей и блокируйте сборку при критичных находках.
04 Хранение как артефакта
Сохраняйте SBOM рядом с релизом и версионируйте: каждой версии продукта — своя подписанная опись.
05 Контроль лицензий и политик
Настройте правила: какие лицензии допустимы, какие компоненты под запретом.
06 Использование при инциденте
Отработайте сценарий: пришёл новый CVE — за минуты найти затронутые релизы по описи.

Чек-лист внедрения SBOM

Полнота состава проверьте, что SBOM покрывает транзитивные зависимости, а не только прямые.

Автоматизация генерация встроена в CI/CD и запускается на каждой сборке без ручных шагов.

Формат под задачу выбран CycloneDX и/или SPDX осознанно, под безопасность или лицензионный учёт.

Версионирование каждой версии релиза соответствует своя сохранённая опись.

Подпись и целостность SBOM подписан, чтобы исключить подмену описи.

Интеграция со сканером опись автоматически сверяется с базами уязвимостей.

Политики лицензий заданы допустимые и запрещённые лицензии, нарушения видны до релиза.

Сценарий инцидента отработан поиск затронутых продуктов по описи при новом CVE.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Решения и поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом Software Supply Chain Security](/rating/software-supply-chain-sbom): здесь — суть и практика, там — сравнение конкретных решений по подтверждённым фактам.

Следующий шаг

Разобрались с тем, что такое SBOM и как встроить его в пайплайн — переходите к сравнению решений: **[рейтинг Software Supply Chain Security →](/rating/software-supply-chain-sbom)**. Полезно прочитать рядом: [CycloneDX или SPDX](/research/cyclonedx-vs-spdx), [обзор решений Supply Chain Security 2026](/research/rejting-supply-chain-security-2026) и [защиту цепочки поставки в условиях импортозамещения](/research/supply-chain-importozameshchenie).

Частые вопросы

Чем SBOM отличается от обычного списка зависимостей?

Список зависимостей в проекте обычно содержит прямые компоненты, которые добавил разработчик. SBOM — это машиночитаемая опись всего состава, включая транзитивные зависимости, версии, лицензии и происхождение, в стандартизированном формате, пригодном для автоматического анализа.

Какой формат выбрать — CycloneDX или SPDX?

Для задач безопасности и реагирования на уязвимости чаще берут CycloneDX (развивается OWASP, поддерживает VEX). Для лицензионного учёта и стандартизированной поставки заказчику — SPDX. Многие инструменты генерируют оба, так что выбор не всегда взаимоисключающий.

Как SBOM помогает при уязвимостях вроде Log4Shell?

Когда объявляют новую критическую уязвимость в распространённой библиотеке, по SBOM можно за минуты найти все релизы, где встречается уязвимый компонент нужной версии, вместо многодневной ручной инвентаризации.

На каком этапе генерировать SBOM?

На этапе сборки в CI/CD: так опись отражает реально собранный артефакт, формируется автоматически на каждый билд и сразу попадает на сканирование уязвимостей и проверку лицензий.

Где сравнить конкретные решения для управления цепочкой поставки ПО?

В рейтинге Software Supply Chain Security — решения ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source OWASP Foundation OWASP Foundation

Рейтинг Software Supply Chain Security Сравнить поставщиков по подтверждённым сигналам Рейтинг решений Software Supply Chain Security 2026 Защита цепочки поставки ПО в условиях импортозамещения CycloneDX или SPDX: какой формат SBOM выбрать