GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能

今回は「GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能」についてご紹介します。

関連ワード (作成、構築、権限等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、Publickey様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


GitHubは、同社が提供するGitHub.comにSBOM(ソフトウェア部品表)生成ツールが組み込まれたことを発表しました。

リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。

つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります(実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました)。

Introducing self-service SBOMs! With just one click, developers and compliance teams can now generate SBOMs from a cloud repository’s dependency graph. https://t.co/5cI2Z7tj9z

— GitHub (@github) March 29, 2023

SBOMはJSONファイル形式で作成され、そのソフトウェアを構成しているソフトウェアのバージョンやライセンス、依存関係などのメタデータが業界標準のSPDX形式で記述されています。

これにより、ソフトウェアのライセンスの確認や脆弱性のあるソフトウェアに依存していないかどうかなどを機械的にチェックできるようになり、ソフトウェアのサプライチェーンの安全性を高める仕組みが構築できるようになります。

ボタンをクリックするだけでSBOMを生成

SBOMの生成は、GitHubにログインしたあとでリポジトリの「Insight」タブにある「Dependency graph」をクリック。右上にある「Export SBOM」ボタンをクリックするだけです。

fig

これ以外にも、CLI拡張機能の「gh-sbom」による生成、GitHub Actionsでの生成も可能です。近日中にREST APIも提供予定とされています。

ソフトウェアのサプライチェーンリスクへの対応としてのSBOM

SBOMは、2021年末に発覚したJavaライブラリ「Log4j」の脆弱性などをきっかけにソフトウェアのサプライチェーンにおける脆弱性のリスクに注目が集まったことで、ソフトウェアの依存関係を可視化する技術として期待され始めました。

2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも明記されています。

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対しては、サプライチェーンのリスクを可視化する目的でSBOMの対応と利用は必須になっていくことになるとみられます。

関連記事

マイクロソフトは昨年(2022年)7月にSBOM Toolをオープンソースで公開しています。

  • マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Tinderも写真やプロフィールを見る前に会話をするバーチャルのブラインドデートを導入
IT関連
2022-02-14 09:58
民間商業宇宙ステーションの実現を目指すAxiom Spaceが約138億円を調達
宇宙
2021-02-18 04:48
ボートのナビゲーションにiPhone登場時のような革新もたらす「Orca」
モビリティ
2021-03-22 07:51
新型コロナワクチン接種のデジタル記録開発でテックとヘルスの企業がタッグ
ヘルステック
2021-01-16 05:04
ロシアのウクライナ侵攻へのテック業界各社の対応
IT関連
2022-02-26 04:41
発熱量の大きいGPU/HPCサーバーを高密度に集積–IDCFが「高負荷ハウジングサービス」を提供
IT関連
2022-03-11 00:23
NECとSCSK、データセンター事業で協業–顧客のDXを強力に支援
IT関連
2021-07-19 23:55
「ChatGPT」「Bing Chat」「Google Bard」を比較–自分に最適な生成AIの選び方
IT関連
2023-10-28 16:12
SCSK、AWSと戦略的協業–3つの重点施策で提供体制を強化
IT関連
2023-10-26 04:28
NTTデータ、QlikのBIツール導入–データに基づいた製品調達が実現
IT関連
2023-02-04 08:31
SpotifyのCEOがライブオーディオコンテンツを次の「Stories」だと有望視
ネットサービス
2021-05-02 13:46
日本海事新聞社、Apple Vision Proで新聞紙面アプリを開発
IT関連
2024-08-07 14:39
NEC通信システムら、ドローン自律制御に向けたリアルタイム位置測位の技術を実証
IT関連
2023-09-17 03:53
招待制の写真SNS「Dispo」読本(前編) 使い捨てカメラ、トイカメラとはまた違う魅力の撮影アプリ (1/4 ページ)
アプリ・Web
2021-03-18 11:06