マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開

今回は「マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開」についてご紹介します。

関連ワード (単独、方々、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。

SBOMによるサプライチェーンリスクの解決

SBOMとはSoftware Bill Of Materialsの頭文字をとったもので、日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として記憶に新しいでしょう。広く使われているソフトウェア部品に深刻な脆弱性が発見された場合、その影響はときに甚大なものになるのです。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

こうしたソフトウェアの開発工程において発生するリスクのことを「サプライチェーンリスク」と呼ぶことがあります。

そして、このサプライチェーンリスクを低減するための方法の1つとして期待されているのが「SBOM」です。

Log4jの脆弱性が発覚したときに、どのソフトウェアがLog4jに依存しているのかどうかが分からず、あのソフトウェアは依存している、いや依存していないらしい、といった不確実な情報が数多く流れて多くの混乱や対応への遅延が生じました。

SBOMによって、そのソフトウェアがどのようなソフトウェア部品によっていつ構築されたのかが判別できれば、脆弱性の判断と対応も迅速に行えます。

米国政府はこのサプライチェーンリスクの解決に数年前から真剣に取り組んでおり、2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも記されています。

fig

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対して、SBOMは必須になっていくことになるとみられます。

ビルド時にSBOMを生成、SPDXフォーマットを採用

マイクロソフトがオープンソースで公開した「SBOM Tool」は、このSBOMをビルド時に自動生成してくれる機能を提供してくれます。

具体的には、ソフトウェア名やライセンス、作成者、バージョン、個々のファイルのハッシュ値などの情報を、SBOMのフォーマットとしての標準の1つである「SPDX」(Software Package Data Exchange)形式で出力してくれます。

また、ビルドの対象となるソフトウェアにSBOMが用意されている場合、新たに生成されるSBOMにはそのSBOMの情報をきちんととりまとめて生成することが可能。

fig

SBOM ToolsはWindows、Linux、Macに対応し、NPM、NuGet、PyPI、CocoaPods、Maven、Golang、Rust Crates、RubyGems、Gradle、Ivy、GithHubパブリックリポジトリ、コンテナ内のLinuxパッケージなど、さまざまなソフトウェアの自動検出機能も備えているとのことで、今後さらに自動検出機能を強化するとしています。

米国政府によるSBOMの推進は、日本にも影響を及ぼすことになるのは間違いないでしょう。すでに日本国内でも経済産業省がSBOMの採用検討について議論を進めているとされています。

企業向け、公共機関向けのソフトウェア開発に関連する仕事をしているITエンジニアの方々にとって、このSBOM Toolは情報収集が求められる分野のソフトウェアになるのではないでしょうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ネットワークインフラの購入調達をウェブで現代化したLightyear
ネットサービス
2021-07-17 18:05
地球低軌道で撮影されるハイパースペクトル画像を提供するWyvernが約5.2億円調達、2022年に同社初の打ち上げを予定
IT関連
2022-01-19 04:14
C++の後継目指すプログラミング言語「Carbon Language」、Googleの技術者が実験的公開。C++は技術的負債で改良が困難と
IT関連
2022-07-21 13:50
ベイシア、SaaS型の製品マスターサービスを導入–ネットスーパーの商品情報を整理
IT関連
2022-07-09 13:01
五条悟の“等身大フィギュア”も 入場特典は学生証 「アニメ呪術廻戦展」渋谷で夏開催
くらテク
2021-06-05 21:35
電気ポットからApple Watchまで、デジタルで緩やかな“みまもり”を :デジタル防災を始めよう(1/2 ページ)
トップニュース
2021-07-31 11:23
アプリケーションデリバリー/セキュリティをエッジにも提供する–F5ネットワークス
IT関連
2021-06-17 17:04
キッチンと洗面台が合体 1人暮らしの部屋を広くする「MIXINK」 三菱地所
くらテク
2021-06-16 03:51
電力需給ひっ迫、電気事業連合会など「節電」呼びかけ
くらテク
2021-01-13 21:10
紛失・盗難対策トラッカーTileがモバイルアプリにストーカー対策安全機能を追加
IT関連
2022-03-20 01:28
ソーシャルコマースによる副収入を支援するElenasが6.5億円調達、ラテンアメリカ全域に拡大計画
ネットサービス
2021-03-08 22:53
日本株:2021年は「バリュー優位」–2022年は「グロース優位」と予想する理由
IT関連
2021-05-19 02:20
NEC、社内DX戦略を発表–社長直下に全社横断の推進室設置
IT関連
2021-06-15 18:33
全面クラウドの勘定系システム、北國銀行で稼働スタート Microsoft Azure採用
DX
2021-05-07 01:04