SBOM のセキュリティを確保

ソフトウェア部品表 (SBOM) に、セキュリティの脆弱性や法的に問題があるパッケージがないかチェックできます。Snyk で SBOM 管理プロセス全体を自動化し、開発者のワークフローに統合しましょう。

無料登録して Snyk の機能を最大限に活用しましょう。クレジットカードは必要ありません。

Loading

無料の SBOM セキュリティチェッカーを使用して脆弱性や法的問題をスキャンする方法

SBOM を追加

CycloneDX または SPDX SBOM の内容をコピーして貼り付けると、詳細なセキュリティ結果が表示されます。

SBOM をチェック

SBOM のチェックボタンをクリックします。

セキュリティを改善

結果をもとに、セキュリティ体制を改善できます。

最新の SBOM のセキュリティを確保すべき 3 つの理由

すばやく開発

コンポーネントやそのバージョンが目まぐるしく変わるソフトウェア開発に対応するためにも、最新の SBOM を維持することが重要です。

技術的負債を削減

オープンソースソフトウェアライブラリを利用する開発者は、ライセンスの問題が発生した場合、別のライブラリに移行する必要があります。

コンプライアンスを強化

SBOM は、2022 年のソフトウェアサプライチェーンセキュリティに関する大統領令で重要な部分を占めています。つまり、SBOM のセキュリティは今後数年間にわたって引き続き注力されることになります。

よくある質問

ソフトウェア部品表とは何ですか?

ソフトウェア部品表 (SBOM) は、組織全体で使用されるすべてのソフトウェアコンポーネントを網羅したリストです。ソフトウェア部品表は、サードパーティのオープンソースライブラリ、ベンダー提供のパッケージ、組織が開発したファーストパーティのアーティファクトで構成されます。

SBOM の作成が必要な理由は何ですか?

SBOM は基本的に、アプリケーションで使用するすべてのソフトウェアコンポーネントの目録となります。SBOM を適切なセキュリティツール (ソフトウェアコンポジション解析など) と合わせて活用することで、開発または消費しているソフトウェアのライセンスやセキュリティリスクを可視化して明確にできます。コンポーネントやそのバージョンが目まぐるしく変わるソフトウェア開発に対応するためにも、最新の SBOM 形式に準拠したソフトウェア部品表を維持することが重要です。

どの SBOM の規格を使用したらいいですか?

CycloneDX と SPDX は、セキュリティに関して最も使用されている 2 つの SBOM 規格です。プロジェクトのニーズに応じてどちらかを使用できますが、両方とも導入することもできます。近いうちに SBOM の規格が統一されることはなさそうです。米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) などは、しばらくは複数の形式が存在することになると予想しています

CycloneDX とは何ですか?

OWASP CycloneDX は、アプリケーションセキュリティのコンテキストとサプライチェーンのコンポーネント分析のために設計された SBOM (ソフトウェア部品表) の標準規格です。すべてのファーストパーティおよびサードパーティのソフトウェアコンポーネントのインベントリを提供しています。仕様は豊富で、ソフトウェアライブラリにとどまらず、SaaSBOM (Software as a Service Bill of Materials) や VEX (Vulnerability Exploitability Exchange) などの規格に拡張されています。この規格は Apache 2.0 ライセンスのオープンソースプロジェクトで、以下のオープンソース GitHub リポジトリで共同利用が可能です。https://github.com/CycloneDX/specification

SPDX とは何ですか?

Linux Foundation の SPDX は、コンポーネント、ライセンス、著作権、セキュリティ参照などのソフトウェアに関連するメタデータを表現できる、もう一つの SBOM 規格です。SPDX は、重要なデータを共通の形式で簡単に共有できるようにすることで、重複作業の削減、コンプライアンス、セキュリティ、信頼性の向上を目指しています。SPDX は、Linux Foundation が主催する草の根のオープンソースプロジェクトです。SPDX の完全な仕様はこちらからダウンロードできるほか、SPDX Github リポジトリからもダウンロードきます

Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk (スニーク) は、デベロッパーセキュリティプラットフォームです。Snyk は、コードやオープンソースとその依存関係、コンテナや IaC (Infrastructure as a Code) における脆弱性を見つけるだけでなく、優先順位をつけて修正するためのツールです。世界最高峰の脆弱性データベースを基盤に、Snyk の脆弱性に関する専門家としての知見が提供されます。

無料で始める資料請求