Skip to content
Latchkey

SBOM(Software Bill of Materials)とは?

software bill of materials(SBOM)は、ソフトウェアartifactに含まれるすべてのコンポーネント、ライブラリ、依存関係を、バージョンや関係とともに列挙した、機械可読な正式なリストです。一般的なフォーマットにはSPDXとCycloneDXがあります。SBOMは新しい脆弱性が公開されたときに「影響を受けているか?」に素早く答えられるようにします。

なぜ重要か

Log4Shellのような脆弱性が現れたとき、最初の疑問はどのビルドが影響を受けるコンポーネントを含むかです。SBOMがなければ、その答えには何日もの手作業の監査がかかります。CI中にSBOMを生成すると、インベントリは信頼できるものになり、即座にクエリ可能になります。

関連する概念

  • SPDXとCycloneDXは標準的なSBOMフォーマットである
  • 直接依存だけでなく推移的依存も含める必要がある
  • provenanceと組み合わせて内容と出所の両方を記述する

関連ガイド