10.6 产品团队之间的一致性

如果不能在组织的各个产品团队中一致地实施，那么推动软件透明度和提供 SBOM 和证明等工件就不可能有效。对于非常大的组织或具有全球影响力的组织来说，拥有多个产品团队的情况并不少见，其中一些团队拥有自己的工具和 SDLC 流程。

作者们了解到至少有一家自动化制造商为每条产品线创建一个新的法律实体。因此，本质上有几十个或数百个法律实体，都在生产名字非常相似的软件，这对最终消费者来说并不总是很清楚。因此，对一家公司及其相关开发流程的安全评估并不适用于其他公司及其相关产品线。这可能变得非常复杂。

在某个时候，其中一位作者管理一个全球制造公司的应用安全，该公司有超过100个不同的开发团队，其中大多数采用不同的实践。推动标准化的努力遇到了大量阻力，其中一些是由于地区偏见，例如欧洲与北美之间对谁拥有更好流程的意见分歧。

由于整个行业仍在决定对CycloneDX、SPDX、VEX和VDR的看法，因此我们可能会在组织内部看到这些不一致现象持续一段时间。因此，消费者在合同中的安全附录中明确他们期望和打算让供应商负责的做法是很重要的。

随着软件消费者寻求在其各种应用程序和产品中实施标准化流程、治理和客户体验，达成某种程度的共识是重要的。例如，可能具体的CI/CD工具看起来不同，但不同团队同意标准化的输出和工件格式。