Автоматизация SBOM в большом legacy-проекте: опыт LibreOffice и Collabora Online

В сфере искусственного интеллекта произошло заметное событие. amaksimovv 3 минуты назад Автоматизация SBOM в большом legacy-проекте: опыт LibreOffice и Collabora Online Средний 6 мин 9 Блог компании CodeScoring Open source * C++ * C * Кейс Перевод Автор оригинала: Thorsten Behrens Вот уже более 20 лет проходит масштабная конференция разработчиков свободного и открытого ПО – FOSDEM. Для CodeScoring она примечательна тем, что с 2021 года на ней регулярно представлен тематический деврум "SBOMS and supply chains", посвященный составу программного обеспечения и цепочкам поставок. Эта статья – адаптация доклада "LibreOffice and Collabora Online – how we managed to automate SBOM generation for a large legacy project", с которым Торстен Беренц выступил на конференции в 2026 году.

Специально для вас мы перевели выступление и превратили его в статью, оригинал доклада на английском языке – по ссылке. Закон о киберустойчивости (Cyber Resilience Act, CRA, новые европейские требования к созданию ПО) поэтапно вступает в силу, и многим из европейских компаний нужно срочно разбираться со списками компонентов ПО (ППК/SBOM). В России тема SBOM также встроена в контекст безопасной разработки: ГОСТ Р 56939-2024 относит композиционный анализ к обязательным процессам контроля сторонних компонентов и известных уязвимостей.

Технические детали

То есть SBOM становится не просто документом, а частью регулярной работы с составом ПО. Для продуктов с повышенным уровнем доверия или сертификацией правила формальнее – в рамках требований ФСТЭК России необходимо предоставлять перечень заимствованных компонентов в установленном формате. Вернемся же к Collabora и истории о том, как в компании обзавелись своим собственным опытом создания SBOM для достаточно сложного продукта — Collabora Online, онлайн-офисного пакета с открытым исходным кодом, построенного на ядре LibreOffice.

Заголовок доклада обещает полностью автоматизированную генерацию SBOM, но реальность, как всегда, внесла свои коррективы. Автор доклада и его коллеги достигли определенных успехов, но это история о начале большого пути, а не о финише. Передаем слово Торстену!

Об авторе: Торстен — эксперт LibreOffice и Collabora, глубоко разбирающийся в отраслевых стандартах. За свои 25 лет в проекте он успел покопаться в самых разных уголках кода: от системы сборки и библиотек абстракции платформы до Impress и Writer. По образованию Торстен — программист, по призванию — фанат свободного ПО.

Отраслевые последствия

Начинал ещё в Sun Microsystems, работал над известной альтернативой Microsoft Office, OpenOffice. org, а затем стал одним из основателей The Document Foundation и проекта LibreOffice. Сейчас в его повседневной работе много проектного менеджмента и общения с заказчиками, но это не мешает ему время от времени всё ещё возиться с кодом.

Недавно он объединил свою компанию с Collabora, чтобы с новыми силами помогать заказчикам переходить на суверенное открытое ПО. С чего мы начинали и с чем столкнулисьНаша цель — полная прозрачность и отслеживаемость всех артефактов продукта, чтобы соответствовать требованиям CRA.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.