SBOM のセキュリティを確保

ソフトウェア部品表 (SBOM) は、組織全体で使用されるすべてのソフトウェアコンポーネントを網羅したリストです。ソフトウェア部品表は、サードパーティのオープンソースライブラリ、ベンダー提供のパッケージ、組織が開発したファーストパーティのアーティファクトで構成されます。

SBOM は基本的に、アプリケーションで使用するすべてのソフトウェアコンポーネントの目録となります。SBOM を適切なセキュリティツール (ソフトウェアコンポジション解析など) と合わせて活用することで、開発または消費しているソフトウェアのライセンスやセキュリティリスクを可視化して明確にできます。コンポーネントやそのバージョンが目まぐるしく変わるソフトウェア開発に対応するためにも、最新の SBOM 形式に準拠したソフトウェア部品表を維持することが重要です。

CycloneDX と SPDX は、セキュリティに関して最も使用されている 2 つの SBOM 規格です。プロジェクトのニーズに応じてどちらかを使用できますが、両方とも導入することもできます。近いうちに SBOM の規格が統一されることはなさそうです。米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) などは、しばらくは複数の形式が存在することになると予想しています。

OWASP CycloneDX は、アプリケーションセキュリティのコンテキストとサプライチェーンのコンポーネント分析のために設計された SBOM (ソフトウェア部品表) の標準規格です。すべてのファーストパーティおよびサードパーティのソフトウェアコンポーネントのインベントリを提供しています。仕様は豊富で、ソフトウェアライブラリにとどまらず、SaaSBOM (Software as a Service Bill of Materials) や VEX (Vulnerability Exploitability Exchange) などの規格に拡張されています。この規格は Apache 2.0 ライセンスのオープンソースプロジェクトで、以下のオープンソース GitHub リポジトリで共同利用が可能です。https://github.com/CycloneDX/specification

Linux Foundation の SPDX は、コンポーネント、ライセンス、著作権、セキュリティ参照などのソフトウェアに関連するメタデータを表現できる、もう一つの SBOM 規格です。SPDX は、重要なデータを共通の形式で簡単に共有できるようにすることで、重複作業の削減、コンプライアンス、セキュリティ、信頼性の向上を目指しています。SPDX は、Linux Foundation が主催する草の根のオープンソースプロジェクトです。SPDX の完全な仕様はこちらからダウンロードできるほか、SPDX Github リポジトリからもダウンロードきます。