GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能

2023年4月10日

GitHubは、同社が提供するGitHub.comにSBOM(ソフトウェア部品表)生成ツールが組み込まれたことを発表しました。

リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。

つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります(実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました)。

SBOMはJSONファイル形式で作成され、そのソフトウェアを構成しているソフトウェアのバージョンやライセンス、依存関係などのメタデータが業界標準のSPDX形式で記述されています。

これにより、ソフトウェアのライセンスの確認や脆弱性のあるソフトウェアに依存していないかどうかなどを機械的にチェックできるようになり、ソフトウェアのサプライチェーンの安全性を高める仕組みが構築できるようになります。

ボタンをクリックするだけでSBOMを生成

SBOMの生成は、GitHubにログインしたあとでリポジトリの「Insight」タブにある「Dependency graph」をクリック。右上にある「Export SBOM」ボタンをクリックするだけです。

fig

これ以外にも、CLI拡張機能の「gh-sbom」による生成、GitHub Actionsでの生成も可能です。近日中にREST APIも提供予定とされています。

ソフトウェアのサプライチェーンリスクへの対応としてのSBOM

SBOMは、2021年末に発覚したJavaライブラリ「Log4j」の脆弱性などをきっかけにソフトウェアのサプライチェーンにおける脆弱性のリスクに注目が集まったことで、ソフトウェアの依存関係を可視化する技術として期待され始めました。

2021年5月に米国のバイデン大統領が署名した大統領令「Executive Order on Improving the Nation’s Cybersecurity」(サイバーセキュリティ強化のための大統領令)には、米国政府がSBOMに取り組むことも明記されています。

今後、少なくとも社会的に重要と見なされるソフトウェアの流通に対しては、サプライチェーンのリスクを可視化する目的でSBOMの対応と利用は必須になっていくことになるとみられます。

関連記事

マイクロソフトは昨年(2022年)7月にSBOM Toolをオープンソースで公開しています。

あわせて読みたい

セキュリティ ソフトウェアテスト・品質 開発ツール GitHub Microsoft



タグクラウド

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準

アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本