Stel, u hebt een perfecte SBOM gegenereerd. De volgende stap is deze lijst afzetten tegen een database van bekende kwetsbaarheden (zoals de NVD). Maar hier stuiten we op een gigantisch semantisch probleem: hoe identificeren we een component op een 100% unieke manier?
CPE (Common Platform Enumeration) was decennialang de standaard, maar is te rigide voor de miljoenen dynamische open-source pakketten op NPM of PyPI. De moderne oplossing is PURL (Package URL). PURL definieert het ecosysteem, de namespace, de naam en de versie in één gestandaardiseerde string. Zorg dat uw audit-tooling native PURLs ondersteunt!
Van lezen naar doen
Benieuwd hoe ver úw organisatie is met de CRA? Test het in twee minuten met de gratis Quickscan, of verdiep u in de 4-weekse Survival Challenge.