SBOM 工具生态系统的现状:SPDX 与 CycloneDX 的比较分析
发布: (2025年12月26日 GMT+8 04:50)
7 min read
原文: arXiv
Source: arXiv - 2512.21781v1
概览
The paper The State of the SBOM Tool Ecosystems: A Comparative Analysis of SPDX and CycloneDX 对两大软件材料清单(SBOM)标准——SPDX 和 CycloneDX——进行深入分析,通过衡量其周边工具生态系统的健康度、成熟度和实际使用情况。了解各自生态系统在何处更强,有助于开发者和安全团队为其供应链透明度需求选择合适的格式。
关键贡献
- 大规模实证调查:对 170 款公开宣传的 SBOM 工具进行调查(其中 171 款聚焦 CycloneDX,470 款聚焦 SPDX)。
- 健康指标分析(例如活跃度、问题解决速度、贡献者数量),针对每个生态系统进行评估,揭示成熟度差距。
- 问题报告挖掘:对开源 SBOM 项目中的 36,990 条工单进行分析,找出常见痛点和开发瓶颈。
- 采纳研究:对依赖各生态系统的前 250 个开源项目进行研究,比较项目健康指标(星标、分叉、CI 集成)。
- 可操作的建议:为工具供应商、标准组织和实践者提供建议,说明两个生态系统如何相互补充。
方法论
- 工具识别 – 作者爬取公共代码库、软件包注册表和供应商列表,编制了一个专门针对 SPDX 或 CycloneDX 的 SBOM 工具目录。
- 指标定义 – 对每个工具收集量化的“健康”信号:发行版数量、提交频率、打开‑与‑关闭问题比例、贡献者数量以及首次响应时间。
- 问题报告挖掘 – 使用 GitHub 的 REST API,提取了 36,990 条问题单,然后应用自然语言处理对其进行分类(错误、功能请求、文档、安全)。
- 项目层面分析 – 通过依赖图和构建工具集成,识别出使用每种格式的前 250 个开源项目;记录标准 OSS 健康指标(星标、分叉、CI 通过率)。
- 统计比较 – 使用非参数检验(Mann‑Whitney U)评估两个生态系统之间观察到的差异是否具有统计显著性。
Results & Findings
- 工具数量与多样性 – SPDX 拥有大约 2.8 倍 的工具数量,相比 CycloneDX,体现了更广泛的行业采纳和更悠久的历史。
- 开发者参与度 – 使用 CycloneDX 工具的项目显示出更高的 平均贡献者数量 (≈ 12 对 7),以及更快的问题解决时间(中位数约 2 天,对比 SPDX 的 5 天)。
- 问题分布 – 两个生态系统都存在文档缺口,但 CycloneDX 工具中 功能请求工单 的比例更高(38 % 对比 SPDX 的 22 %),表明用户需求未得到满足。
- 项目健康度 – 基于 CycloneDX 的开源项目往往拥有 更高的 CI 通过率 和更新的发行版本,暗示生态系统更为“活跃”。然而,基于 SPDX 的项目则拥有 更广泛的工具覆盖(例如 CI 插件、漏洞扫描器)。
- 成熟度权衡 – SPDX 更大的工具池带来 对小众语言和构建系统的更好覆盖,而 CycloneDX 更紧密的社区则实现 更快速的迭代和更高的用户满意度。
实际影响
- 工具选择 – 需要立即、开箱即用的多语言集成的团队可能倾向于 SPDX,而重视快速迭代、社区驱动的工具(例如用于容器镜像)的组织可能会选择 CycloneDX。
- 供应链自动化 – CI/CD 流水线可以利用 CycloneDX 工具更快的问题解决速度,减少 SBOM 生成和验证的瓶颈。
- 供应商路线图 – 工具供应商可以优先考虑在问题分析中识别的“功能请求”集群(例如,更好地支持 monorepos、更丰富的漏洞关联),以缩小两个生态系统之间的差距。
- 政策与合规 – 参考 SBOM 标准的监管机构和审计员可以利用这些发现,证明允许 双格式 合规策略的合理性,使组织能够受益于两个生态系统的优势。
- 社区合作 – 本文指出了具体领域(例如,共享解析器、跨格式转换器),SPDX 与 CycloneDX 社区可以在这些方面合作,减少工作重复。
限制与未来工作
- 工具发现偏差 – 目录依赖于公开宣传的工具;不为人知或内部企业解决方案可能被低估。
- 静态快照 – 指标在单一时间点捕获;生态系统的快速变化(新版本、合并)可能导致平衡改变。
- 问题分类深度 – 自动化的 NLP 分类可能误标细微的工单,影响“功能请求”与“缺陷”划分的准确性。
- 未来方向 – 作者建议进行纵向研究以追踪生态系统演变、对维护者进行更深入的定性访谈,并开发统一的基准套件,以评估不同格式下 SBOM 工具的性能。
作者
- Abdul Ali Bangash
- Tongxu Ge
- Zhimin Zhao
- Arshdeep Singh
- Zitao Wang
- Bram Adams
论文信息
- arXiv ID: 2512.21781v1
- Categories: cs.SE
- Published: 2025年12月25日
- PDF: 下载 PDF