SBOM のセキュリティを確保
ソフトウェア部品表 (SBOM) に、セキュリティの脆弱性や法的に問題があるパッケージがないかチェックできます。Snyk で SBOM 管理プロセス全体を自動化し、開発者のワークフローに統合しましょう。
無料登録して Snyk の機能を最大限に活用しましょう。クレジットカードは必要ありません。
無料の SBOM セキュリティチェッカーを使用して脆弱性や法的問題をスキャンする方法
SBOM を追加
CycloneDX または SPDX SBOM の内容をコピーして貼り付けると、詳細なセキュリティ結果が表示されます。
SBOM をチェック
SBOM のチェックボタンをクリックします。
セキュリティを改善
結果をもとに、セキュリティ体制を改善できます。
最新の SBOM のセキュリティを確保すべき 3 つの理由
すばやく開発
コンポーネントやそのバージョンが目まぐるしく変わるソフトウェア開発に対応するためにも、最新の SBOM を維持することが重要です。
技術的負債を削減
オープンソースソフトウェアライブラリを利用する開発者は、ライセンスの問題が発生した場合、別のライブラリに移行する必要があります。
コンプライアンスを強化
SBOM は、2022 年のソフトウェアサプライチェーンセキュリティに関する大統領令で重要な部分を占めています。つまり、SBOM のセキュリティは今後数年間にわたって引き続き注力されることになります。
よくある質問
ソフトウェア部品表 (SBOM) は、組織全体で使用されるすべてのソフトウェアコンポーネントを網羅したリストです。ソフトウェア部品表は、サードパーティのオープンソースライブラリ、ベンダー提供のパッケージ、組織が開発したファーストパーティのアーティファクトで構成されます。
SBOM は基本的に、アプリケーションで使用するすべてのソフトウェアコンポーネントの目録となります。SBOM を適切なセキュリティツール (ソフトウェアコンポジション解析など) と合わせて活用することで、開発または消費しているソフトウェアのライセンスやセキュリティリスクを可視化して明確にできます。コンポーネントやそのバージョンが目まぐるしく変わるソフトウェア開発に対応するためにも、最新の SBOM 形式に準拠したソフトウェア部品表を維持することが重要です。
CycloneDX と SPDX は、セキュリティに関して最も使用されている 2 つの SBOM 規格です。プロジェクトのニーズに応じてどちらかを使用できますが、両方とも導入することもできます。近いうちに SBOM の規格が統一されることはなさそうです。米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) などは、しばらくは複数の形式が存在することになると予想しています。
OWASP CycloneDX は、アプリケーションセキュリティのコンテキストとサプライチェーンのコンポーネント分析のために設計された SBOM (ソフトウェア部品表) の標準規格です。すべてのファーストパーティおよびサードパーティのソフトウェアコンポーネントのインベントリを提供しています。仕様は豊富で、ソフトウェアライブラリにとどまらず、SaaSBOM (Software as a Service Bill of Materials) や VEX (Vulnerability Exploitability Exchange) などの規格に拡張されています。この規格は Apache 2.0 ライセンスのオープンソースプロジェクトで、以下のオープンソース GitHub リポジトリで共同利用が可能です。https://github.com/CycloneDX/specification
Linux Foundation の SPDX は、コンポーネント、ライセンス、著作権、セキュリティ参照などのソフトウェアに関連するメタデータを表現できる、もう一つの SBOM 規格です。SPDX は、重要なデータを共通の形式で簡単に共有できるようにすることで、重複作業の削減、コンプライアンス、セキュリティ、信頼性の向上を目指しています。SPDX は、Linux Foundation が主催する草の根のオープンソースプロジェクトです。SPDX の完全な仕様はこちらからダウンロードできるほか、SPDX Github リポジトリからもダウンロードきます。
最新のオープンソース SBOM のセキュリティを確保
ログインまたは登録することにより、当社の利用規約およびプライバシーポリシーを含め、当社の規程を遵守することに同意したことになります