[Перевод] Как создавать SBOM в Java с помощью Maven и Gradle
При создании приложений на Java мы сильно зависим от внешних библиотек и фреймворков. И каждый импортируемый пакет Java, скорее всего, также зависит от большего количества библиотек. Это означает, что количество Java-пакетов, включенных в ваше приложение, часто не совсем прозрачно.
Эти вложенные (транзитивные) зависимости создают проблему, заключающуюся в том, что вы как разработчик, вероятно, не знаете всех библиотек, которые на самом деле используете.
Недавно мы обсуждали, почему и как мы должны тщательно поддерживать наши зависимости. В статье Лучшие практики управления зависимостями Java я рассказал о доступных вариантах и инструментах для настройки стратегии управления зависимостями.
Но что, если вы передаете свое Java-приложение клиенту?
Как они узнают, какие зависимости включены?
Что еще важнее, как они могут проверить, не уязвимы ли эти зависимости для проблем безопасности?
Ответом является спецификация программного обеспечения SBOM (software bill of materials).
Читать далееИсточник: Хабрахабр
Похожие новости
- Как выйти из IT?.. и пойти слесарем на завод. Моя попыточка дауншифтинга [45]
- Наше общение нам больше не принадлежит. Размышляю как ИИ создаст альтернативу для Telegram без VPN и прослушки
- [Перевод] Квантовый апокалипсис грядёт: можно начинать бояться
- «Сделка сложится как по нотам»: новая рекламная кампания М2
- «Плохие парни работают просто»: пентестеры разбирают реальные кейсы
- КУСь нашего контрагента
- Какие форматы контента в топе у застройщиков во всех соцсетях
- B2B без писем и звонков: как автоматизация упрощает бизнес-процессы
- Каждую четвёртую онлайн-покупку в России привлекают кэшбэк и программы лояльности
- Как я строил антифрод-систему для ставок: неожиданные сложности и решения