[Перевод] Как создавать SBOM в Java с помощью Maven и Gradle
При создании приложений на Java мы сильно зависим от внешних библиотек и фреймворков. И каждый импортируемый пакет Java, скорее всего, также зависит от большего количества библиотек. Это означает, что количество Java-пакетов, включенных в ваше приложение, часто не совсем прозрачно.
Эти вложенные (транзитивные) зависимости создают проблему, заключающуюся в том, что вы как разработчик, вероятно, не знаете всех библиотек, которые на самом деле используете.
Недавно мы обсуждали, почему и как мы должны тщательно поддерживать наши зависимости. В статье Лучшие практики управления зависимостями Java я рассказал о доступных вариантах и инструментах для настройки стратегии управления зависимостями.
Но что, если вы передаете свое Java-приложение клиенту?
Как они узнают, какие зависимости включены?
Что еще важнее, как они могут проверить, не уязвимы ли эти зависимости для проблем безопасности?
Ответом является спецификация программного обеспечения SBOM (software bill of materials).
Читать далееИсточник: Хабрахабр
