GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能

今回は「GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能」についてご紹介します。

関連ワード （作成、構築、権限等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

GitHubは、同社が提供するGitHub.comにSBOM（ソフトウェア部品表）生成ツールが組み込まれたことを発表しました。

リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。

つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります（実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました）。

Introducing self-service SBOMs! With just one click, developers and compliance teams can now generate SBOMs from a cloud repository’s dependency graph. https://t.co/5cI2Z7tj9z

— GitHub (@github) March 29, 2023

SBOMはJSONファイル形式で作成され、そのソフトウェアを構成しているソフトウェアのバージョンやライセンス、依存関係などのメタデータが業界標準のSPDX形式で記述されています。

これにより、ソフトウェアのライセンスの確認や脆弱性のあるソフトウェアに依存していないかどうかなどを機械的にチェックできるようになり、ソフトウェアのサプライチェーンの安全性を高める仕組みが構築できるようになります。

ボタンをクリックするだけでSBOMを生成

SBOMの生成は、GitHubにログインしたあとでリポジトリの「Insight」タブにある「Dependency graph」をクリック。右上にある「Export SBOM」ボタンをクリックするだけです。

これ以外にも、CLI拡張機能の「gh-sbom」による生成、GitHub Actionsでの生成も可能です。近日中にREST APIも提供予定とされています。

ソフトウェアのサプライチェーンリスクへの対応としてのSBOM

SBOMは、2021年末に発覚したJavaライブラリ「Log4j」の脆弱性などをきっかけにソフトウェアのサプライチェーンにおける脆弱性のリスクに注目が集まったことで、ソフトウェアの依存関係を可視化する技術として期待され始めました。

2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」（サイバーセキュリティ強化のための大統領令）には、米国政府がSBOMに取り組むことも明記されています。

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対しては、サプライチェーンのリスクを可視化する目的でSBOMの対応と利用は必須になっていくことになるとみられます。

関連記事

マイクロソフトは昨年（2022年）7月にSBOM Toolをオープンソースで公開しています。

• マイクロソフト、ビルド時にソフトウェアの部品表（SBOM）を自動生成する「SBOM Tool」、オープンソースで公開