SBOM Diff - CI/CD用語集の定義
SBOM diffは、2つのbuildの間でどの依存関係が変わったか、すなわち何が追加、削除、アップデートされたかを正確に示し、リスクのある推移的な変更が気づかれずにすり抜けないようにします。
SBOM diffは2つのsoftware bill of materialsを比較し、build間でどのコンポーネントが追加、削除、またはバージョン変更されたかを示すもので、依存関係の変更とそのセキュリティ上の影響をレビューで可視化します。
SBOMのdiffを取ることで、静的なインベントリを、CIでgateにかけられる変更シグナルに変えられます。
CIでの位置づけ
build毎にSBOMを生成して前回との差分を取ると、意図しない推移的アップグレードが表面化し、新たに導入されたコンポーネントが既知の脆弱性を持つ場合にポリシーがpipelineを失敗させられます。
関連ガイド
Provenance Predicate - CI/CD Glossary DefinitionProvenance Predicate: A provenance predicate is the structured claim inside a build attestation that records…
VEX Document - CI/CD Glossary DefinitionVEX Document: A VEX (Vulnerability Exploitability eXchange) document is a machine-readable statement assertin…
Lockfile Drift Detection - CI/CD Glossary DefinitionLockfile Drift Detection: Lockfile drift is when a project’s lockfile no longer matches its manifest, so inst…