SBOM(Software Bill of Materials)とは?
情報処理安全確保支援士の講習を受けているときにSBOMというのが出てきたので調べたときの覚書。
SBOMとは?
Software Bill of Materialsの略。
日本語だとソフトウェア部品表。
ソフトウェアに含まれるコンポーネントやそれらの依存関係やライセンス情報のリスト。
複雑化するソフトウェアの脆弱性管理を効率化するため、近年導入が推奨されている。
参考
- サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します
- ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引Ver. 1.0
- Google Developers Japan: SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける
Package.jsonの違いは?
Node.js プロジェクトの依存関係を管理するpackage.jsonに対して、SBOMは開発者だけでなく、ソフトウェアの利用者、運用者、セキュリティ担当者など、より幅広い関係者をターゲットにしている。
package.jsonは、レストランのメニューのようなもので、料理名(プロジェクト)と主な材料(直接の依存関係)が記載されている。
SBOMは、食品の成分表示のようなもので、料理に使われているすべての材料(すべてのコンポーネント)とその詳細(サプライヤー、産地、アレルギー情報など)が記載されている。