「ソフトウェアの情報共有の方法を標準化する必要がある」 Linux Foundationがツールやオンライン講座を提供：安全なソフトウェア開発に向けてSBOMの使用を促進

The Linux Foundationは、SPDXに準拠した新しい業界調査やオンライントレーニング、ツールを発表した。安全なソフトウェア開発に向けてソフトウェア部品表（SBOM）の使用を促進する。

[＠IT]

　The Linux Foundation（以下、Linux Foundation）は2021年6月18日、安全なソフトウェア開発に向けてソフトウェア部品表（SBOM）の使用を促進するために、SPDX（Software Package Data Exchange）に準拠した新しい業界調査やトレーニング、ツールを発表した。Linux Foundationプロジェクトの1つであるSPDXは、SBOMの情報を伝えるためのデファクトスタンダードを目指している。

The Linux Foundation japanのWebページから引用

　Linux Foundationによると「最近のアプリケーションはおよそ90％がオープンソースを利用している」という。SBOMは、アプリケーションが利用しているオープンソースソフトウェアコンポーネントについて、品質やライセンス、セキュリティ属性を詳細に説明するもの。ソフトウェアのサプライチェーン全体にどのコンポーネントが存在するかを理解し、問題とリスクを事前に特定し、修復の開始点を確立するために使用する。

オンライントレーニングは無料で利用できる

　今回発表された新しい業界調査は、Linux Foundation Researchが実施する「SBOM採用準備調査」。ソフトウェアサプライチェーンのセキュリティに関連して、SBOMを採用するに当たっての障壁と、それを克服するために必要な将来のアクションを検証するという。

　オンライントレーニングは「Generating a Software Bill of Materials（LFC192）：ソフトウェア部品表の生成」。SBOMを生成するのに使用可能なオプションやツール、それらを利用してサイバーセキュリティの対応能力を向上させる方法についての基礎知識を無料で学習できる。

　ツールは、CLI（Command Line Interface）でSBOM情報を生成する「SPDX SBOMジェネレーター」。WindowsとmacOS、Linuxに対応する。生成するSBOM情報は、NTIA（National Telecommunications and Information Administration：米国商務省電気通信情報局）の最小要件に準拠しており、SPDX v2.2仕様を使用したアプリケーションのコンポーネントやライセンス、著作権、セキュリティレファレンスを含んでいる。

　Linux Foundationのプロジェクト担当シニアバイスプレジデント兼ゼネラルマネジャーを務めるMike Dolan氏は、「オープンソースコミュニティーは公共、民間を問わずSBOMの理解と採用を促進する立場にある。サイバーセキュリティの脅威の高まりによって、ソフトウェア内の情報を共有する方法を標準化する必要が出てきた。SBOMの採用と生成方法についての理解を深め、情報に基づいて行動できるよう、リソースを提供することが急務になっている」と述べている。