Software Bill of Materials (SBOM) - CI/CD 用語集の定義
SBOM は、ソフトウェア内のすべてのコンポーネントを網羅したインベントリです。
SBOM は、ソフトウェアを構成するすべてのコンポーネント、ライブラリ、およびそれらのバージョンを記録した、正式で機械可読なインベントリであり、依存関係の追跡や脆弱性への対応に使われます。
SBOM は、ソフトウェア内のすべてのコンポーネントを網羅したインベントリです。
CI において
build 中に SBOM を(SPDX や CycloneDX などの形式で)生成しておくと、新しい CVE が公開されたときに、どの release が影響を受けるコンポーネントを含んでいるかを即座に把握できます。
関連ガイド
Software Composition Analysis (SCA) - CI/CD Glossary DefinitionSoftware Composition Analysis (SCA): SCA inventories a project's open-source and third-party dependencies and…
Provenance - CI/CD Glossary DefinitionProvenance: Provenance is verifiable metadata describing how a software artifact was built, including its sou…
Dependency Scanning - CI/CD Glossary DefinitionDependency Scanning: Dependency scanning examines a project's declared and transitive libraries against vulne…