Что такое SBOM и зачем он нужен?

SBOM (Software Bill of Materials) — машиночитаемый список всех компонентов ПО: зависимости, версии, лицензии. SPDX и CycloneDX — основные форматы. Syft генерирует SBOM из контейнерных образов или кода. Grype сканирует SBOM на CVE. Зачем нужен: быстро найти все системы с уязвимой версией (как во время Log4Shell), compliance требования (US Executive Order 14028), управление лицензионными рисками. GitHub Dependency Graph и Dependabot используют схожую концепцию.