GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能

今回は「GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能」についてご紹介します。

関連ワード (作成、構築、権限等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


GitHubは、同社が提供するGitHub.comにSBOM(ソフトウェア部品表)生成ツールが組み込まれたことを発表しました。

リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。

つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります(実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました)。

Introducing self-service SBOMs! With just one click, developers and compliance teams can now generate SBOMs from a cloud repository’s dependency graph. https://t.co/5cI2Z7tj9z

— GitHub (@github) March 29, 2023

SBOMはJSONファイル形式で作成され、そのソフトウェアを構成しているソフトウェアのバージョンやライセンス、依存関係などのメタデータが業界標準のSPDX形式で記述されています。

これにより、ソフトウェアのライセンスの確認や脆弱性のあるソフトウェアに依存していないかどうかなどを機械的にチェックできるようになり、ソフトウェアのサプライチェーンの安全性を高める仕組みが構築できるようになります。

ボタンをクリックするだけでSBOMを生成

SBOMの生成は、GitHubにログインしたあとでリポジトリの「Insight」タブにある「Dependency graph」をクリック。右上にある「Export SBOM」ボタンをクリックするだけです。

fig

これ以外にも、CLI拡張機能の「gh-sbom」による生成、GitHub Actionsでの生成も可能です。近日中にREST APIも提供予定とされています。

ソフトウェアのサプライチェーンリスクへの対応としてのSBOM

SBOMは、2021年末に発覚したJavaライブラリ「Log4j」の脆弱性などをきっかけにソフトウェアのサプライチェーンにおける脆弱性のリスクに注目が集まったことで、ソフトウェアの依存関係を可視化する技術として期待され始めました。

2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも明記されています。

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対しては、サプライチェーンのリスクを可視化する目的でSBOMの対応と利用は必須になっていくことになるとみられます。

関連記事

マイクロソフトは昨年(2022年)7月にSBOM Toolをオープンソースで公開しています。

  • マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ペンシルバニア大准教授、授業で「ChatGPT」利用を奨励–「目覚ましい」成果
IT関連
2023-02-23 09:50
なぜ、データバックアップへの企業投資の優先度が急上昇しているのか
IT関連
2022-05-28 01:02
こんな場所にも浸透? あなたの知らない“生体認証”の世界
PR
2021-03-11 16:59
WordPress純正プラグインに、AIがブログを執筆してくれる「Jetpack AI Assistant」登場
WordPress
2023-06-09 04:24
マイクロソフトがXbox向けChromiumベースEdgeブラウザーのオープンテストを開始
ゲーム / eSports
2021-03-09 08:46
アップルとインテルが台湾TSMCの3nm製造プロセスを使ったチップ設計をテスト中と報じられる
ハードウェア
2021-07-06 03:29
「Windows 11」プレビュー版、テザリング有効化をPC側で可能に
IT関連
2022-11-01 15:26
C#クックブック/プログラマー脳/電子回路、マジわからん、など、ITエンジニア向け新刊案内(2023年3月)
新刊案内
2023-03-01 11:31
CircleCIがGitLabに対応。GitLabのコード変更をトリガーにCircleCI でビルド、テスト、デプロイを実行可能に
CI/CD
2022-07-28 13:40
沖縄県那覇市、住民異動時の窓口業務をRPAで効率化–職員の負担軽減や住民サービスの向上
IT関連
2022-12-24 15:37
NSSOLと日本IBM、5Gおよびエッジ向けプラットフォーム関連技術を提供
IT関連
2021-06-01 08:50
ロンドンのJiffyが3.9億円のシード投資を調達しダークストア競争に参入
シェアリングエコノミー
2021-03-18 15:41
サイバーセキュリティの最も重要な原因となっているヒューマンエラーに対処する独SoSafe
IT関連
2022-01-18 13:55
「データセンターからデジタルコンプレックスへ」–IIJがカーボンニュートラルの取り組み語る
IT関連
2022-07-30 17:26