マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開

今回は「マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開」についてご紹介します。

関連ワード (単独、方々、発見等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。

SBOMによるサプライチェーンリスクの解決

SBOMとはSoftware Bill Of Materialsの頭文字をとったもので、日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。

ほとんどのソフトウェアは単独で成立しているわけではなく、多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。

例えば昨年(2021年)末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えた例として記憶に新しいでしょう。広く使われているソフトウェア部品に深刻な脆弱性が発見された場合、その影響はときに甚大なものになるのです。

参考:広く使われているJavaライブラリ「Log4j」に深刻な脆弱性。速やかに確認と対策を

こうしたソフトウェアの開発工程において発生するリスクのことを「サプライチェーンリスク」と呼ぶことがあります。

そして、このサプライチェーンリスクを低減するための方法の1つとして期待されているのが「SBOM」です。

Log4jの脆弱性が発覚したときに、どのソフトウェアがLog4jに依存しているのかどうかが分からず、あのソフトウェアは依存している、いや依存していないらしい、といった不確実な情報が数多く流れて多くの混乱や対応への遅延が生じました。

SBOMによって、そのソフトウェアがどのようなソフトウェア部品によっていつ構築されたのかが判別できれば、脆弱性の判断と対応も迅速に行えます。

米国政府はこのサプライチェーンリスクの解決に数年前から真剣に取り組んでおり、2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも記されています。

fig

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対して、SBOMは必須になっていくことになるとみられます。

ビルド時にSBOMを生成、SPDXフォーマットを採用

マイクロソフトがオープンソースで公開した「SBOM Tool」は、このSBOMをビルド時に自動生成してくれる機能を提供してくれます。

具体的には、ソフトウェア名やライセンス、作成者、バージョン、個々のファイルのハッシュ値などの情報を、SBOMのフォーマットとしての標準の1つである「SPDX」(Software Package Data Exchange)形式で出力してくれます。

また、ビルドの対象となるソフトウェアにSBOMが用意されている場合、新たに生成されるSBOMにはそのSBOMの情報をきちんととりまとめて生成することが可能。

fig

SBOM ToolsはWindows、Linux、Macに対応し、NPM、NuGet、PyPI、CocoaPods、Maven、Golang、Rust Crates、RubyGems、Gradle、Ivy、GithHubパブリックリポジトリ、コンテナ内のLinuxパッケージなど、さまざまなソフトウェアの自動検出機能も備えているとのことで、今後さらに自動検出機能を強化するとしています。

米国政府によるSBOMの推進は、日本にも影響を及ぼすことになるのは間違いないでしょう。すでに日本国内でも経済産業省がSBOMの採用検討について議論を進めているとされています。

企業向け、公共機関向けのソフトウェア開発に関連する仕事をしているITエンジニアの方々にとって、このSBOM Toolは情報収集が求められる分野のソフトウェアになるのではないでしょうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ライブ配信「ツイキャス」が音声SNS機能を強化、最大101人の会話を10万人規模で一斉視聴可能に
ネットサービス
2021-05-28 13:06
中国系スマホが日本市場に攻勢 Xiaomiが3万円端末 一方で政治リスクも
IT関連
2021-08-05 14:47
Chromeブラウザでお気に入りサイトを「フォロー」する機能のテスト開始(RSSベース)
アプリ・Web
2021-05-21 23:49
代替タンパク質開発の豪v2Foodがアジアや欧州進出に向け約58億円調達
フードテック
2021-08-09 15:37
楽天モバイル、回線契約者数300万人まで間もなく 1年無料キャンペーンの受け付けは4月に終了
企業・業界動向
2021-03-02 13:12
Next.js 14.2正式リリース、webpack後継ビルドツールのTurbopackがリリース候補版に
JavaScript
2024-04-18 00:57
JICA、アクセス環境の安全性と利便性を向上–ゼットスケーラーが支援
IT関連
2024-11-24 04:28
企業の3大課題–変革、サプライチェーン、サステナビリティーに応えるSAP
IT関連
2022-05-13 06:25
ソフトバンクが中国の産業用自律型モバイルロボットYouibotの16.9億円のラウンドをリード
ロボティクス
2021-05-08 03:42
コロナ禍「デジタルディバイド」解消へ 高齢者にスマホ貸与
IT関連
2021-06-24 02:44
トレンドマイクロ、XDRにセキュリティ製品群の運用管理機能を追加
IT関連
2023-08-30 15:01
アドビ、組織内のマーケティング活動を集約した統合ビューを提供–迅速な意思決定に寄与
IT関連
2024-09-28 12:10
ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収
セキュリティ
2021-06-16 01:44
シヤチハタの「Shachihata Cloud」、既存の押印プロセスをそのままデジタル化
IT関連
2023-05-24 21:32