「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に? OpenSSFが発表:2大フォーマットの「SPDX」「CycloneDX」に対応 OSSとして公開
OpenSSFは、CISAやDHS S&Tと共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。SBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできる。
Open Source Security Foundation(OpenSSF)は2024年4月16日(米国時間)、米国の国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) および国土安全保障省 (DHS) 科学技術総局 (S&T) と共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。
Protobomは、SBOM(Software Bill of Materials:ソフトウェア部品表)に関連するファイルデータを読み取り、業界標準のSBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできるオープンソースソフトウェア(OSS)だ。商用およびオープンソースのアプリケーションに統合することもできる。
OpenSSFは「ソフトウェアサプライチェーンを理解し、既知の脆弱(ぜいじゃく)性を把握するために使用されるSBOMは、サイバーセキュリティリスク管理に不可欠だ」との認識を示す。その上で、「複数のSBOMフォーマットや識別スキームがあり、組織にとって導入が難しい。Protobomは、中立のデータレイヤーを提供し、どのような種類のSBOMでもアプリケーションがシームレスに機能するよう設計されている」と述べている。
ProtobomのGitHubリポジトリによると、発表時点ではSBOMの2大フォーマットである「SPDX」および「CycloneDX」へのアクセス、読み取り、変換に対応しているという。
CISAの上級顧問兼ストラテジストのアラン・フリードマン氏は「ソフトウェアの脆弱性は重大なサイバーセキュリティリスクであり、SBOMを活用することで迅速かつ効率的に対処できる。Protobomを通じて、異なるSBOMフォーマット間でのデータ変換を容易にし、より透明で効率的なソフトウェアサプライチェーン管理ができるよう支援する」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「CPython」がSBOMに対応 PSFがSPDX形式のSBOMドキュメントを公開
Python Software Foundationは、Pythonのレファレンス実装である「CPython」において、SPDXフォーマットのSBOMドキュメントを公開した。
「SBOMの作成は発注時に依頼する必要あり?」 「SBOMって何のために作るの?」
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決! OSSコンプライアンス」。今回は、協力会社との関係でどのようにSBOMを生かすべきかを解説します。
GitHubリポジトリからSBOMを簡単に生成できる新機能をリリース、GitHub
GitHubは、GitHubのクラウドリポジトリからワンクリックで、米商務省のNTIAのガイドラインに準拠した「SBOM」(ソフトウェア部品表)を生成できる新機能を発表した。