11.3 我该怎么处理它

你已经从软件供应商那里收到了SBOM，或者基于内部开发工作开始创建SBOM。现在，如何让这些SBOM变得有价值且可操作？

正如我们之前讨论的，SBOM在多种应用场景中具有价值，例如漏洞管理、依赖关系卫生、事件响应、许可证管理和采购。使其可操作的关键在于将SBOM整合到组织的政策和流程中，并让相关利益相关者参与进来，使这些工件在他们各自的角色和职责相关方面变得有价值。

虽然我们在第4章讨论过，业界已经迅速涌现出各种帮助创建SBOM的工具，但在处理、分析、丰富、存储和大规模报告SBOM及其相关数据方面，业界仍有相当大的发展空间。

这种成熟度的欠缺也适用于其他挑战，例如遗留软件或云环境。由于云环境的复杂性以及服务和提供商之间的众多相互依赖关系，业界尚未就云环境中的SBOM应具备的形式达成统一共识。

如果在创建或接收到SBOM后没有一个连贯的计划，组织将只能获得一些可能提供漏洞、风险和依赖关系见解的工件，但这些工件不会变得有价值，除非通过组织的技术使用和支持政策与流程使其可操作。正如我们所讨论的，SBOM有巨大的用例，但组织必须有一个计划避免增加个人和组织的认知负担，却收效甚微，必须正确使用这些SBOM。