扫描源文件以获取许可信息(因为包管理器的元数据不足)是一项繁重的工作,而且是浪费精力,因为公司很少集中资源。一个例子是OSSelot ,另一个例子是ClearlyDefined 。
但也许开源项目可以出售 SBOM 片段,基本上是 CycloneDX 中的组件成员或SPDX 中的具有正确许可信息的包:
“您无需亲自扫描版权声明和许可文本,只需在 GitHub 上赞助我们,并由真正了解其中内容的人员访问始终最新的 SBOM 信息”。
原文: https://www.thomas-huehn.com/open-source-projects-could-sell-sbom-fragments/