GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能

今回は「GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能」についてご紹介します。

関連ワード (作成、構築、権限等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


GitHubは、同社が提供するGitHub.comにSBOM(ソフトウェア部品表)生成ツールが組み込まれたことを発表しました。

リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。

つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります(実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました)。

Introducing self-service SBOMs! With just one click, developers and compliance teams can now generate SBOMs from a cloud repository’s dependency graph. https://t.co/5cI2Z7tj9z

— GitHub (@github) March 29, 2023

SBOMはJSONファイル形式で作成され、そのソフトウェアを構成しているソフトウェアのバージョンやライセンス、依存関係などのメタデータが業界標準のSPDX形式で記述されています。

これにより、ソフトウェアのライセンスの確認や脆弱性のあるソフトウェアに依存していないかどうかなどを機械的にチェックできるようになり、ソフトウェアのサプライチェーンの安全性を高める仕組みが構築できるようになります。

ボタンをクリックするだけでSBOMを生成

SBOMの生成は、GitHubにログインしたあとでリポジトリの「Insight」タブにある「Dependency graph」をクリック。右上にある「Export SBOM」ボタンをクリックするだけです。

fig

これ以外にも、CLI拡張機能の「gh-sbom」による生成、GitHub Actionsでの生成も可能です。近日中にREST APIも提供予定とされています。

ソフトウェアのサプライチェーンリスクへの対応としてのSBOM

SBOMは、2021年末に発覚したJavaライブラリ「Log4j」の脆弱性などをきっかけにソフトウェアのサプライチェーンにおける脆弱性のリスクに注目が集まったことで、ソフトウェアの依存関係を可視化する技術として期待され始めました。

2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも明記されています。

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対しては、サプライチェーンのリスクを可視化する目的でSBOMの対応と利用は必須になっていくことになるとみられます。

関連記事

マイクロソフトは昨年(2022年)7月にSBOM Toolをオープンソースで公開しています。

  • マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開

COMMENTS


Recommended

TITLE
CATEGORY
DATE
SCSK、自社事業へのAI適用に向けて専門組織を設立
IT関連
2023-09-30 19:41
モバイルファーストの住宅ローンサービスプラットフォームValonが約52.5億円調達
フィンテック
2021-02-04 18:15
カナダ最高裁が炭素税を支持、関連スタートアップの爆発的な増加に期待
EnviroTech
2021-03-31 04:39
KDDIや日立ら、量子関連技術で勤務シフト作成時間を半分以下に短縮
IT関連
2022-09-02 07:42
SAP、金融サービス業界向け部門の立ち上げを計画–投資会社Dediqと連携
IT関連
2021-04-15 07:04
Facebook、3万5000人体制のフェイク対策 3カ月で13億の偽アカ削除
企業・業界動向
2021-03-24 22:18
GitHub、「GitHub Innovation Graph」公開–日本からは247万人以上が開発に関与
IT関連
2023-09-27 08:40
「macOS」でハードウェアセキュリティキーを使うには
IT関連
2024-01-14 10:26
データベースは“コンバージド”の時代へ–日本オラクル三澤社長、最新版「Oracle Database 21c」をアピール
IT関連
2021-02-15 04:45
コードを読んでリポジトリ名を当てろ! プログラマ向けゲーム「GitHub-Guessr」が登場
GitHub
2023-09-19 15:08
AWS、次期CEOに現Tableau CEOのアダム・セルピスキー氏を指名
AWS
2021-03-25 17:59
RSA Security、Fraud & Risk Intelligence事業をスピンアウト–独立企業Outseerに
IT関連
2021-06-10 19:18
「生きた細胞の中」を覗ける超解像蛍光顕微鏡を活用する創薬プログラムEikon Therapeuticsが約598億円調達
IT関連
2022-01-19 07:57
PHPの公式Gitサーバーにハッキング被害–バックドアを仕掛けるコードが見つかる
IT関連
2021-03-30 04:00