[論文レビュー] A Survey on Mapping Digital Systems with Bill of Materials: Development, Practices, and Challenges
この調査はソフトウェア、ハードウェア、AI、データ、暗号資産に対するBOMの開発の跨領域レビュー(SBOM、CBOM、AIBOM、HBOM、SaaSBOM)を提供し、進化、実践、用途、研究ギャップを要約する。
Modern digital ecosystems, spanning software, hardware, learning models, datasets, and cryptographic products, continue to grow in complexity, making it difficult for organizations to understand and manage component dependencies. Bills of Materials (BOMs) have emerged as a structured way to document product components, their interrelationships, and key metadata, improving visibility and security across digital supply chains. This survey provides the first comprehensive cross-domain review of BOM developments and practices. We start by examining the evolution of BOM frameworks in three stages (i.e., pre-development, initial, and accelerated) and summarizing their core principles, key stakeholders, and standardization efforts for hardware, software, artificial intelligence (AI) models, datasets, and cryptographic assets. We then review industry practices for generating BOM data, evaluating its quality, and securely sharing it. Next, we review practical downstream uses of BOM data, including dependency modeling, compliance verification, operational risk assessment, and vulnerability tracking. We also discuss academic efforts to address limitations in current BOM frameworks through refinements, extensions, or new models tailored to emerging domains such as data ecosystems and AI supply chains. Finally, we identify four key gaps that limit the usability and reliability of today's BOM frameworks, motivating future research directions.
研究の動機と目的
- ハードウェアからデジタルエコシステムへのBOM概念の歴史的および現在の進化を追跡する。
- ソフトウェア、ハードウェア、AI、データ、暗号資産におけるドメイン固有のBOM実践、標準、採用を要約する。
- BOMデータの生成、品質、共有実践を分析する。
- 現在のBOMフレームワークの制限とギャップを特定し、将来の研究方向性を促す。
提案手法
- Google Scholar、ACM DL、IEEE Xplore、arXivを対象にSBOM、CBOM、AIBOM、HBOM、SaaSBOMを網羅的に検索する。
- 2020年以降のBOM開発、標準、産業採用の横断的統合を提供する。
- 三段階のBOM進化(前開発、初期、加速)を説明し、ドメイン固有の標準とフレームワークをマッピングする。
- セキュリティ、コンプライアンス、リスク評価における実践的なBOMデータ生成、管理、使用を要約する。
- AI、データエコシステム、IoTのような新興ドメインに対するBOMモデルの改良・拡張を学術的に検討する。
実験結果
リサーチクエスチョン
- RQ1ソフトウェア、ハードウェア、AIモデルとデータセット、暗号資産、SaaSにわたるBOMフレームワークの歴史的および現在の展開はどうなっているか?
- RQ2業界の実践はBOMデータをどのように生成・検証・共有しており、データの品質と使いやすさには何が影響するか?
- RQ3依存関係モデリング、コンプライアンス、リスク評価、脆弱性追跡におけるBOMデータの実用的な用途は何か?
- RQ4現在のBOMフレームワークにはどのようなギャップがあり、新興ドメインと課題に対応する将来の方向性は何か?
主な発見
- BOMフレームワークはハードウェア中心からSBOM、CBOM、AIBOM、HBOM、SaaSBOMを含むクロスドメインカバレッジへと進化してきた。
- 規制と標準化の動きは2021年以降加速し、SBOMの正式化(SPDX、CycloneDX)とAI、ハードウェア、SaaS、暗号技術のドメイン拡張が進んだ。
- 産業界の実践はデータ品質、共有、使いやすさを重視する一方、ツール間およびエコシステム全体での完全性と一貫性の問題を指摘している。
- 現在のBOMの使いやすさと信頼性を制限する4つの主要ギャップ:AIとデータエコシステムのカバレッジ、標準化されたデータ共有、ランタイムと出所追跡、動的環境向けのスケーラビリティ。
- 学術的な取り組みは拡張モデル、補完メタデータ、ランタイム/ビルド時追跡を提案し、メタデータの制限を克服しようとしている。
- ソースコードアクセスなしでのBOMデータ生成、ドメイン固有フィールド(プライバシー、セキュリティ、暗号、出所証明)でのBOMの強化など、継続的な研究が進行中である。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。