Es geht um Abhängkeitsmanagement von Software per "Software Bill of Materials", kurz SBOM. SBOM enthält alle Pakete und Services, von denen ein Programm abhängig ist und fasst sie mitsamt ihrer Version in einem Dokument zusammen. Total gute Methodik, um einen Überblick über Abhängigkeiten und Sicherheitslücken zu behalten bzw. zu bekommen.

Link: https://www.heise.de/hintergrund/Nie-wieder-Log4J-freie-Werkzeuge-bannen-Open-Source-Sicherheitsluecken-7193949.html?wt_mc=rss.red.ho.ho.rdf.beitrag.beitrag