Copyright ©2024 Sanwa Comtec KK. All rights reserved.
Software Bill of Materials(SBOM、ソフトウェア資材明細書)は、ソフトウェア製品やシステムが構成されるコンポーネントやサードパーティのライブラリ、フレームワーク、依存関係などの詳細なリストを示す文書です。SBOMは、ソフトウェアの脆弱性管理やセキュリティ管理、ライセンスコンプライアンスの向上、ソフトウェア供給チェーンの可視性向上などの目的で使用されます。
SBOMに含まれる情報には、以下のようなものがあります。コンポーネントの識別
各コンポーネントに固有の識別子や名前が含まれます。これにより、コンポーネントを一意に識別し、トラッキングできます。
依存関係
ソフトウェアが依存する他のコンポーネントやライブラリのリストが含まれます。これにより、ソフトウェアの構成や依存関係を理解し、脆弱性の影響範囲を評価できます。
バージョン情報
各コンポーネントのバージョン番号やリリース情報が含まれます。これにより、特定のバージョンに関連する既知の脆弱性や修正が特定されます。
ライセンス情報
各コンポーネントのライセンス情報が含まれます。これにより、ライセンスコンプライアンスや知的財産権の管理が可能になります。
SBOMは、ソフトウェアの開発、配布、管理の各段階で作成され、利用されます。特に、セキュリティの観点からは、ソフトウェアの構成要素を明確にすることで、潜在的な脆弱性やセキュリティリスクを特定し、対策を講じることができます。また、SBOMは、ソフトウェアのサプライチェーン攻撃や脅威モデリングなどのセキュリティ活動にも役立ちます。