摘要： 很多企业做了 SBOM，为什么依然管不住依赖？ 上一篇聊到，很多企业做了 DevOps，开源依赖还是管不好。根本原因之一：不知道自己的系统里到底有什么。 所以很多人想到的第一步是：生成 SBOM。 但 SBOM 这东西，选错生成方式，比不生成更麻烦。 我见过太多"没用的 SBOM" 有个客户，花了大 阅读全文