• SBOM

概要

SBOM(エスボム)

Software Bill of Materials、ソフトウェア部品表の事

日本語だと日立ソリューションズのサイト( SBOM｜ソリューションメニュー｜ソフトウェア部品管理ソリューション｜日立ソリューションズ ) が情報としては纏まっていると思われる

開発動機

「ソフトウェアサプライチェーン攻撃」がかなり攻撃として目立ってきた事による

2021年に発生したlog4jの脆弱性がかなりのインパクトがあった事による影響も大きい

利用目的

以下のような事に利用可能

• アプリケーションを構成している、ライブラリやソフトウェアの種類管理する
• アプリケーションを構成している、ライブラリやソフトウェアのバージョンを管理する
• アプリケーションを構成している、ライブラリやソフトウェアのライセンスを管理する

基本的に部品にかんする全般を管理する事が可能なので、上記以外の目的にも利用できます

政府系サイト

アメイカ NTIA(商務省国家電気通信情報局)

• SOFTWARE BILL OF MATERIALS | National Telecommunications and Information Administration

日本 経済産業省

• 「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定しました （METI/経済産業省）

ツール

品質チェックツール

• https://github.com/interlynk-io/sbomqs

• https://github.com/spdx/ntia-conformance-checker

• https://github.com/eBay/sbom-scorecard

商用

• Black Duckソフトウェア・コンポジション解析（SCA） | Synopsys

• SBOM Managment | FOSSA

• Mend SCA: Open Source Software Management Made Simple

参考サイト