Software Bill of Materials (SBOM) - CI/CD用語集の定義
software bill of materials(SBOM)とは、build に含まれるすべてのコンポーネントと依存関係を機械可読な形式で列挙したもので、一般に SPDX または CycloneDX 形式で表され、ライセンスの監査や脆弱なパッケージの発見に使われます。
CIにおいて
Syft や docker sbom などのツールは build 中に SBOM を生成して artifact に添付します。これにより、スキャナーは後で新しい CVE の公表と照合できます。
関連ガイド
Provenance - CI/CD Glossary DefinitionProvenance: Provenance is verifiable metadata describing how an artifact was built: the source commit, builde…
Attestation - CI/CD Glossary DefinitionAttestation: An attestation is a signed statement about an artifact, such as its provenance, SBOM, or test re…
Supply Chain Attack - CI/CD Glossary DefinitionSupply Chain Attack: A supply chain attack compromises software by targeting its dependencies, build tools, o…