GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能

今回は「GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能」についてご紹介します。

関連ワード (作成、構築、権限等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


GitHubは、同社が提供するGitHub.comにSBOM(ソフトウェア部品表)生成ツールが組み込まれたことを発表しました。

リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。

つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります(実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました)。

Introducing self-service SBOMs! With just one click, developers and compliance teams can now generate SBOMs from a cloud repository’s dependency graph. https://t.co/5cI2Z7tj9z

— GitHub (@github) March 29, 2023

SBOMはJSONファイル形式で作成され、そのソフトウェアを構成しているソフトウェアのバージョンやライセンス、依存関係などのメタデータが業界標準のSPDX形式で記述されています。

これにより、ソフトウェアのライセンスの確認や脆弱性のあるソフトウェアに依存していないかどうかなどを機械的にチェックできるようになり、ソフトウェアのサプライチェーンの安全性を高める仕組みが構築できるようになります。

ボタンをクリックするだけでSBOMを生成

SBOMの生成は、GitHubにログインしたあとでリポジトリの「Insight」タブにある「Dependency graph」をクリック。右上にある「Export SBOM」ボタンをクリックするだけです。

fig

これ以外にも、CLI拡張機能の「gh-sbom」による生成、GitHub Actionsでの生成も可能です。近日中にREST APIも提供予定とされています。

ソフトウェアのサプライチェーンリスクへの対応としてのSBOM

SBOMは、2021年末に発覚したJavaライブラリ「Log4j」の脆弱性などをきっかけにソフトウェアのサプライチェーンにおける脆弱性のリスクに注目が集まったことで、ソフトウェアの依存関係を可視化する技術として期待され始めました。

2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも明記されています。

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対しては、サプライチェーンのリスクを可視化する目的でSBOMの対応と利用は必須になっていくことになるとみられます。

関連記事

マイクロソフトは昨年(2022年)7月にSBOM Toolをオープンソースで公開しています。

  • マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開

COMMENTS


Recommended

TITLE
CATEGORY
DATE
WebサイトのログインにPasskeyを追加できる新サービス「Passwordless.dev」、Bitwardenが正式公開。月間1万ユーザーまで無料
FIDO/WebAuthn
2023-06-19 16:33
EARTHBRAINとCTC、「横浜港新本牧ふ頭整備事業」に3Dモデルを用いた情報共有クラウドを提供
IT関連
2023-03-09 03:43
ブロックチェーンを利用して従来の美術品の所有権管理も行うLobusが6.5億円調達
ブロックチェーン
2021-04-30 06:56
日本企業のCXへの関心高まるも取り組みに遅れ–ガートナー調査
IT関連
2021-06-08 20:34
Google Cloudとオートメーション・エニウェアが提携–企業のRPA導入促進へ
IT関連
2021-03-17 20:43
マイクロソフト、「Teams」に対する一連の機能強化を発表
IT関連
2022-06-03 12:26
日刊工業新聞社、共通ID基盤導入–パーソナライズされた情報提供図る
IT関連
2023-04-25 00:22
デジタル活用による業務効率化で5兆ドルの経済成長–アクセンチュア
IT関連
2021-02-04 22:30
五輪に便乗した詐欺サイト、5つの手口 「チケット払い戻し」やIOC偽サイトなど Kasperskyが注意喚起
セキュリティ
2021-07-30 21:25
Zoomの伝道師が語る「これからのコミュニケーションの在り方」
IT関連
2022-11-26 00:56
UQ mobile、5G対応プランを9月から提供 価格は既存プランから据え置き
企業・業界動向
2021-08-03 03:17
屋外でもコロナ感染リスク、スパコン「富岳」飛沫シミュレーション 
IT関連
2021-05-07 15:01
「Linux」でコマンドを実行する時刻を指定–「at」コマンドを使用するには
IT関連
2024-11-01 13:46
EU、大手ITの規制強化で合意–「デジタル市場法」制定へ
IT関連
2022-03-29 12:24