Een SBOM is nutteloos zonder een universele, machinaal leesbare taal. De markt is momenteel gedeeld tussen SPDX (gesteund door de Linux Foundation) en CycloneDX (ontworpen door OWASP).
Waar SPDX van oudsher focust op intellectueel eigendom en licentie-compliance, is CycloneDX vanaf de basis ontworpen voor snelle security-pipelines en kwetsbaarheden-analyse. Voor moderne SaaS en DevSecOps heeft CycloneDX vaak de voorkeur, terwijl overheden en enterprise-inkopers vaker om SPDX (een ISO-standaard) vragen.
Van lezen naar doen
Benieuwd hoe ver úw organisatie is met de CRA? Test het in twee minuten met de gratis Quickscan, of verdiep u in de 4-weekse Survival Challenge.