Введение
Bill of Materials (BOM) – структурированный документ, описывающий состав изделия: перечень всех компонентов, полуфабрикатов, узлов, материалов и сборочных единиц с указанием количества, единиц измерения и иерархии входимости. BOM является центральным артефактом производственного предприятия: именно на его основе системы MRP (Material Requirements Planning) рассчитывают потребности в закупках и планируют производственные задания.
В сфере ПО понятие SBOM (Software Bill of Materials) приобрело критическое значение для кибербезопасности – как перечень всех программных компонентов и зависимостей, включая сторонние библиотеки с открытым исходным кодом.
История и контекст
Формализованные спецификации появились с развитием серийного производства в XIX–XX веках. Стандартизация форматов BOM в машиностроении закреплена в ГОСТ 2.106-96 (ЕСКД). В 1960-х годах, с появлением систем MRP (IBM, J.I. Case), BOM стал цифровым артефактом, хранимым в базах данных. Стандарт MIL-STD-81 регулирует BOM в оборонной промышленности.
В 2021 году президентский указ США Executive Order 14028 сделал SBOM обязательным для федеральных ИТ-поставщиков, спровоцировав активное развитие стандартов CycloneDX и SPDX.
Как это работает
BOM имеет иерархическую (древовидную) структуру:
- Уровень 0 – готовое изделие (финальный продукт).
- Уровень 1 – основные сборочные единицы, из которых состоит изделие.
- Уровни 2–N – компоненты и материалы вплоть до неделимых позиций (raw materials).
Виды BOM:
- EBOM (Engineering BOM) – конструкторская спецификация, ориентированная на проектирование.
- MBOM (Manufacturing BOM) – производственная спецификация с учётом техпроцессов и операционного состава.
- SBOM (Service BOM) – сервисная спецификация для технического обслуживания и ремонта.
- Software BOM – список программных зависимостей с версиями и лицензиями.
Где применяется
- Машиностроение и приборостроение – основа для ERP, MRP, PDM/PLM систем.
- Авиационно-космическая отрасль – многоуровневые BOM из тысяч позиций.
- Фармацевтика – рецептуры и состав лекарственных средств.
- ПО и DevSecOps – SBOM для управления уязвимостями open-source зависимостей (OWASP Dependency-Track).
- Строительство – аналог BOM в виде спецификаций к проекту (BIM-интеграция).
Преимущества и ограничения
Точная BOM обеспечивает точность MRP-расчётов, снижает складские запасы и риски дефицита компонентов. Ошибки в BOM распространяются каскадом на всё производственное планирование. Главные проблемы: обеспечение актуальности BOM при инженерных изменениях (ECO/ECN); синхронизация EBOM и MBOM; управление вариантами и конфигурациями изделия.
Связь с другими понятиями
BOM является ключевым объектом в PLM (Product Lifecycle Management) и ERP системах. Тесно связан с MES (Manufacturing Execution System) и PDM-системами управления конструкторскими данными. В контексте кибербезопасности SBOM интегрируется с системами управления уязвимостями и цепочками поставок ПО (Software Supply Chain Security).
