Een SBOM is een complete inventaris van alle softwarecomponenten, bibliotheken en afhankelijkheden die je product gebruikt. Voor AI-startups omvat dit niet alleen je applicatie-afhankelijkheden maar ook ML-frameworks, modelbibliotheek en datapipeline-tools. Exact weten wat er in je softwarestack zit is essentieel voor het identificeren van kwetsbaarheden, het beheren van licentie-compliance en het snel reageren op supply chain-incidenten.
Hoe begin je:
- Schakel Dependabot of Renovate in: Deze tools scannen automatisch je repositories, markeren bekende kwetsbaarheden en maken pull requests voor updates. Begin met GitHub Dependabot — het inschakelen kost een paar minuten.
- Controleer licentie-compliance: Let vooral op copyleft-licenties (GPL, AGPL) die je kunnen verplichten je eigen code open source te maken. Gebruik een licentiescanning-tool om deze automatisch te markeren.
- Genereer een formele SBOM: Gebruik standaardformaten zoals SPDX of CycloneDX. Veel buildtools (npm, pip, Maven) kunnen afhankelijkheidslijsten exporteren die naar deze formaten geconverteerd kunnen worden.
- Monitor continu: Dagelijks worden nieuwe kwetsbaarheden ontdekt. Stel automatische alerts in zodat je wordt gewaarschuwd wanneer een afhankelijkheid in je stack wordt getroffen door een CVE.
- Neem AI-specifieke componenten op: Documenteer welke modelproviders, frameworks (PyTorch, TensorFlow, LangChain) en inference-runtimes je gebruikt. Deze hebben hun eigen kwetsbaarheidsoppervlak.
Een SBOM wordt steeds vaker verwacht door enterprise-klanten en is vereist door regelgeving zoals de EU Cyber Resilience Act. Tidal Control helpt je je software-inventaris te onderhouden als onderdeel van je activabeheer en te koppelen aan je beveiligingscontrols.