Om de theorie van SBOM-complexiteit tastbaar te maken, hoeven we alleen maar naar het Java-ecosysteem te kijken. Java-applicaties leunen extreem zwaar op externe libraries, maar de manier waarop die libraries worden beheerd, maakt het genereren van een feilloze SBOM een flinke uitdaging.
De Strijd der Build-Tools
Maven en Gradle hebben verschillende resolutie-strategieën om met versieverschillen om te gaan. Waar Maven strikt de dichtstbijzijnde dependency in de boom pakt, kiest Gradle standaard vaak voor de nieuwste versie. Dit betekent dat exact dezelfde code-basis op een andere machine of een andere dag tot een afwijkende SBOM kan leiden.
Van lezen naar doen
Benieuwd hoe ver úw organisatie is met de CRA? Test het in twee minuten met de gratis Quickscan, of verdiep u in de 4-weekse Survival Challenge.