SBOM(Software Bill of Materials)とは?
software bill of materials(SBOM)は、ソフトウェアartifactに含まれるすべてのコンポーネント、ライブラリ、依存関係を、バージョンや関係とともに列挙した、機械可読な正式なリストです。一般的なフォーマットにはSPDXとCycloneDXがあります。SBOMは新しい脆弱性が公開されたときに「影響を受けているか?」に素早く答えられるようにします。
なぜ重要か
Log4Shellのような脆弱性が現れたとき、最初の疑問はどのビルドが影響を受けるコンポーネントを含むかです。SBOMがなければ、その答えには何日もの手作業の監査がかかります。CI中にSBOMを生成すると、インベントリは信頼できるものになり、即座にクエリ可能になります。
関連する概念
- SPDXとCycloneDXは標準的なSBOMフォーマットである
- 直接依存だけでなく推移的依存も含める必要がある
- provenanceと組み合わせて内容と出所の両方を記述する
関連ガイド
What Is a Transitive Dependency?A transitive dependency is one you do not require directly but pull in indirectly because a dependency of you…
What Is Build Provenance?Build provenance is signed metadata describing how an artifact was built, including its source, inputs, and b…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…