**サンドイッチの材料一覧** - **パン** - 白いものか全粒粉のスライスを2枚 - **タンパク質** - デリミートの七面鳥（薄切り）4–6枚 - または、ハムの薄切り1/4カップ - **チーズ** - スイスまたはチェダーのスライスを2枚 - **調味料** - マヨネーズ大さじ1 - マスタード小さじ1 - **野菜（オプション）** - レタスの葉（お好みで） - トマトスライス3–4枚 - キュウリスライス2枚 - **追加具材（オプション）** - ピクルス、オリーブ、ペッパーロンチニなど - 塩・胡椒で味を整える ---

仕様書: SBOM 1.0（サンドイッチ構成要素一覧）
ステータス: 下書き
メンテナ: SBOM ワーキンググループ
ライセンス: MIT（Mustard Is Transferable）

概要

現代のサンドイッチ製造は、複数のレジストリ（農場・流通業者・市場）から調達される多層的な転移依存関係を持つグラフに依存しています。消費者は自分のランチに含まれる部品を列挙したり、原材料の由来を確認したり、サンドイッチが既知の安全なソースから組み立てられたことを検証する標準化された手段を持っていません。SBOM は、サブコンポーネント、ライセンス情報、および既知の脆弱性を含むサンドイッチ全体の依存ツリーを機械可読形式で宣言することにより、この問題を解決します。

動機

典型的なサンドイッチは 6〜47 個の直接依存関係を持ち、各々が独自の転移原材料を引き込む。
「シンプル」BLT はベーコン → 豚肉 → 猪 → 飼料（トウモロコシ、水、抗生物質）→ まだ洪水していない農場という依存関係にある。消費者は三文字しか見えず、サプライチェーン側では「pig eats corn that grows in the field fertilized by the pig」という循環を含む有向非巡回グラフ（DAG）が検出される。

2025 年の卵価格危機は、朝食に影響した左パッド事象と同等の連鎖的失敗だった。1 つの鳥インフルエンザ発生で数か月間にわたり全卵エコシステムが停止し、ポストインシデント分析では被害を受けたサンドイッチの 94 % がロックファイルを持たず、組み立て時に最新の卵を解決していたことが判明した。

仕様

SBOM 文書は 必ず

.sbom

各サンドイッチコンポーネントは以下のフィールドを必ず含めること

surl

surl:type/name@version

name

version

cheddar@18m

supplier

farm://

supermarket://

farmers‑market://

back‑of‑the‑fridge://

integrity

license

依存解決

• サンドイッチ組立は 深さ優先 に依存関係を解決する。
• 二つの原材料が矛盾したサブ依存関係（例：sourdough が

  starter‑culture@wild

  を要求し、プロシュートの乾燥工程が

  salt@himalayan-pink

  を固定）を宣言している場合、アセンブラは バージョン交渉 を試みるべきである。
• 交渉に失敗した場合、サンドイッチは衝突状態となり、人間が依存ツリーをレビューし判断を下すまで 消費不可 とする。
• 循環依存関係は許容されるが推奨されない；解決器は「co‑dependent sourdough」という警告を出力する。

脆弱性スキャン

すべての SBOM 文書は National Sandwich Vulnerability Database (NSVD) に対してスキャンされるべきである。既知脆弱性は以下の通り。

由来と証明

• 各原材料は 署名付き由来証明 を必ず含めること。
• 証明は ヘルメティックビルド環境 で生成され、他の食品が同時に調理されている場所では作成しない（交差汚染リスク）。
• 農場由来の原材料の場合、証明チェーンは種子や動物源まで拡張すべきだ。トマトの証明チェーンには種子・土壌・水・日光・農家・トラック・流通業者・スーパーマーケットで保管された期間（スーパーが開示したくない情報）が含まれる。
• 卵はより難しい：卵の由来証明は、チェーンが無効な可能性のある鶏によって生成される。作業グループは「鳥か卵」由来順序をバージョン 2.0 で遅延させた。

再現可能ビルド

サンドイッチは 再現可能 でなければならない。入力が同一の場合、二つの独立したアセンブラは bite‑for‑bite で完全に一致するサンドイッチを作成すべきだ（実際には不可能）。仕様では

sandwich.lock

• 組立時の環境温度
• ナイフ鋭利度（トマトスライス厚が構造安定性に影響）
• コンディメント量を「見て判断」したか否か
• 組立場所での重力加速度

再現可能なサンドイッチビルドは理想的である。安全性が要求されないサンドイッチでは「十分近い」レベルが許容される；安全性が必要な場合は完全再現を 目指す。

転移依存関係監査

消費者は sbom audit コマンドで全依存ツリーを監査するべきだ。以下の条件に該当する原材料はフラグが立つ：

• 12 か月以上更新されていない
• 継承計画なしの単一農家によって維持されている（ヤギ養殖も参照）
• 200 を超える転移サブコンポーネントを含む
• 2FA をサポートしないレジストリから調達された
• 維持者が所有権を未知の国外実体に大規模移譲した

採用と準拠

初期採用は賛否両論。アーティザナルサンドイッチコミュニティは哲学的理由で機械可読フォーマットに反対し、食べる行為そのものが原材料を発見する手段だと主張。ファストフード業界は原則を支持するが、自社の依存ツリーは商業秘密としてコンパイル済みバイナリで提供すると述べている。

• EU Sandwich Resilience Act (SRA)：2027 年 Q3 までに EU 内で販売または流通されるすべてのサンドイッチが SBOM を含むことを義務付け、SBOM 無効の場合は国境で入国拒否。
• US Executive Order 14028.5：連邦ビル内で提供されるすべてのサンドイッチに SBOM が必要（「Sandwich」と「Software Bill of Materials」の解釈が曖昧）。いくつかの機関は両方を提出開始。

サンドイッチヘリテージ財団

ソフトウェア・ヘリテージ財団が公開コードを保存するように、サンドイッチヘリテージ財団も同様のミッションを採用。ただし成功率は低い。SBOM 1.0 に基づくすべてのサンドイッチは、その整合性ハッシュで内容アドレス可能ストアに保存されるが、現在 14 個しかない。ほとんどの寄稿者は「食べる前にハッシュ化する方法が分からない」。3 月に提出された BLT はトマトのチェックサムが輸送中に変わり、財団は結露を疑っている。

長期保存は未解決。ソフトウェアはディスク上で永続的に保管できるが、サンドイッチは物質制約があるため仕様では想定していない。凍結乾燥、真空パック、極めて詳細な写真撮影などを検討したが、どれもアーカイブからビット単位で再現できるサンドイッチを生成できない。作業グループはこれをストレージ層の課題として除外している。

資金は個人寄付と EU Horizon プログラムへの申請（「デジタル保存文化食遺産」）から得ているが、すでに一度却下された。理由は「サンドイッチはデジタルではない」というものだ。財団は SBOM 1.0 の下のすべてのサンドイッチは定義上デジタルアーティファクトであると主張。

謝辞

この仕様書は、SoMA の Folsom ストリートにある小さなサンドイッチ店へ捧げる。著者が今まで食べた中で最高の BLT を提供し、2019 年に閉店した際 SBOM も公開されず機械可読レシピも出していない。

免責事項
本仕様書は「現状有姿」で提供され、適切性・特定目的への適合性を含む一切の保証（エディビリティ、食事適合性、汚染防止など）を明示的または黙示的に否認する。SBOM 1.0 に従って構築されたサンドイッチが味気ない場合でも、SBOM ワーキンググループは責任を負わない。