マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開

今回は「マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開」についてご紹介します。

関連ワード (単独、方々、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。

SBOMによるサプライチェーンリスクの解決

SBOMとはSoftware Bill Of Materialsの頭文字をとったもので、日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として記憶に新しいでしょう。広く使われているソフトウェア部品に深刻な脆弱性が発見された場合、その影響はときに甚大なものになるのです。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

こうしたソフトウェアの開発工程において発生するリスクのことを「サプライチェーンリスク」と呼ぶことがあります。

そして、このサプライチェーンリスクを低減するための方法の1つとして期待されているのが「SBOM」です。

Log4jの脆弱性が発覚したときに、どのソフトウェアがLog4jに依存しているのかどうかが分からず、あのソフトウェアは依存している、いや依存していないらしい、といった不確実な情報が数多く流れて多くの混乱や対応への遅延が生じました。

SBOMによって、そのソフトウェアがどのようなソフトウェア部品によっていつ構築されたのかが判別できれば、脆弱性の判断と対応も迅速に行えます。

米国政府はこのサプライチェーンリスクの解決に数年前から真剣に取り組んでおり、2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも記されています。

fig

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対して、SBOMは必須になっていくことになるとみられます。

ビルド時にSBOMを生成、SPDXフォーマットを採用

マイクロソフトがオープンソースで公開した「SBOM Tool」は、このSBOMをビルド時に自動生成してくれる機能を提供してくれます。

具体的には、ソフトウェア名やライセンス、作成者、バージョン、個々のファイルのハッシュ値などの情報を、SBOMのフォーマットとしての標準の1つである「SPDX」(Software Package Data Exchange)形式で出力してくれます。

また、ビルドの対象となるソフトウェアにSBOMが用意されている場合、新たに生成されるSBOMにはそのSBOMの情報をきちんととりまとめて生成することが可能。

fig

SBOM ToolsはWindows、Linux、Macに対応し、NPM、NuGet、PyPI、CocoaPods、Maven、Golang、Rust Crates、RubyGems、Gradle、Ivy、GithHubパブリックリポジトリ、コンテナ内のLinuxパッケージなど、さまざまなソフトウェアの自動検出機能も備えているとのことで、今後さらに自動検出機能を強化するとしています。

米国政府によるSBOMの推進は、日本にも影響を及ぼすことになるのは間違いないでしょう。すでに日本国内でも経済産業省がSBOMの採用検討について議論を進めているとされています。

企業向け、公共機関向けのソフトウェア開発に関連する仕事をしているITエンジニアの方々にとって、このSBOM Toolは情報収集が求められる分野のソフトウェアになるのではないでしょうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Copilot Pro」を「Excel」で利用–数式の作成やデータの分析をするには
IT関連
2024-03-17 11:53
北九州市とAWSジャパン、「バックアップ首都構想」の実現に向け連携–宇宙産業の振興も視野に
IT関連
2023-08-19 00:52
今の教育の足りない部分に気づいた教師がリモートEdTechの起業家に転身
EdTech
2021-08-18 01:17
「Natureスマート電気」が基本料金0円で電気を使った分だけ支払う固定単価新プランの先行受付開始
EnviroTech
2021-03-19 14:33
Wasabi Technologies、AI活用のメディアストレージ「Wasabi AiR」発表
IT関連
2024-04-12 14:46
セゾン自動車火災保険、全社基盤に「SmartDB」を採用–現場主導でDX推進
IT関連
2024-05-15 19:37
GVA TECH、AI契約審査「GVA assist」に文書比較機能を追加
IT関連
2022-07-05 04:04
過去番組表から「TVer」動画を直接再生、フナイの4Kテレビから ただし地域限定
くらテク
2021-05-20 00:40
WordPressコミュニティーでグーグル提案の「FLoC」への対応が議論に
IT関連
2021-04-20 16:30
カプコン情報流出、いまだ被害確定できず 20年4〜12月期決算は最高益
IT関連
2021-02-02 01:46
中国が世界の"オペレーティングシステム"の主導権を握る恐れ–英GCHQ長官
IT関連
2021-04-29 12:10
カキの養殖・技術DXなどを手がけるリブルが総額1億円調達、養殖技術の強化拡大を目指す
IT関連
2022-02-02 05:36
amplified ai、特許文献を基にした推論や提案を行う機能を提供
IT関連
2023-07-06 22:37
JR東日本、グループ6万台の端末にEDRを展開
IT関連
2023-01-14 02:38