<div dir="ltr">Morten<div><br></div><div>Good to see that you are producing SBOMs. Do you produce them in both SPDX and Cyc;oneDX formats?</div><div><br></div><div>Are the SBOMs generated at an individual package level or at a distribution level? Where are they stored/how are they made available to users?</div><div><br></div><div>Regards</div><div><br></div><div>Anthony</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 27 Feb 2023 at 12:36, Morten Linderud <<a href="mailto:foxboron@archlinux.org">foxboron@archlinux.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Sat, Feb 25, 2023 at 03:56:59PM +0000, Anthony Harrison wrote:<br>
> So should Reproducible Builds start creating and using SBOMs (and<br>
> delivering them with builds)?<br>
<br>
Well, we have been doing that for many years.<br>
<br>
One of the importants of being able to reproduce the builds is to record the<br>
information present in the build information into something serializeable. The<br>
repro community landed on calling these files "buildinfo" and they predate<br>
several of the current SBOM standards being defined.<br>
<br>
We have some documentation here:<br>
<a href="https://reproducible-builds.org/docs/recording/" rel="noreferrer" target="_blank">https://reproducible-builds.org/docs/recording/</a><br>
<br>
The pacman format can be found here:<br>
<a href="https://man.archlinux.org/man/core/pacman/BUILDINFO.5.en" rel="noreferrer" target="_blank">https://man.archlinux.org/man/core/pacman/BUILDINFO.5.en</a><br>
<br>
Depending on the distributions they are not delivered with the builds.<br>
Debian/apt went with a out-of-build approach and the files are fetched<br>
centralized from one server, while Arch/pacman went with having these embedded<br>
into the package archives.<br>
<br>
-- <br>
Morten Linderud<br>
PGP: 9C02FF419FECBE16<br>
</blockquote></div>