GitHubリポジトリからSBOMを簡単に生成できる新機能をリリース、GitHub：業界標準のSPDXフォーマットのJSONファイルを生成

GitHubは、GitHubのクラウドリポジトリからワンクリックで、米商務省のNTIAのガイドラインに準拠した「SBOM」（ソフトウェア部品表）を生成できる新機能を発表した。

[＠IT]

　GitHubは2023年3月28日（米国時間）、GitHubのクラウドリポジトリへの読み取りアクセスが可能な人なら誰でも、ワンクリックで「SBOM（Software Bill of Materials：ソフトウェア部品表）」を生成できるSBOMエクスポート機能を発表した。この機能で生成されるSBOMは、米国商務省のNTIA（国家電気通信情報局）が発表したSBOMの最小要素のガイドラインに準拠している。

　この新しいSBOMエクスポート機能では、プロジェクトの依存関係とメタデータ（バージョンやライセンスのような）を業界標準の「SPDX」フォーマットで保存したJSONファイルが生成される。このファイルは、セキュリティやコンプライアンスのためのワークフローやツールで使用したり、「Microsoft Excel」でレビューしたりできる。「Google Sheets」との互換性を確保するには、JSONからCSVへのコンバーターを使用する。

　SBOMエクスポート機能により、SBOMをオンデマンドで簡単に生成できるが、開発者はSBOMの生成を、開発ワークフローの通常のステップにすることもできる。

　プロジェクトのSBOMが既にある場合は、それをGitHubリポジトリの依存関係グラフにアップロードして、既知の脆弱（ぜいじゃく）性がある依存関係について、Dependabotアラートを受け取ることができる。

　また、GitHubのSBOM用gh CLI拡張機能「gh-sbom」を使って、リポジトリの依存関係グラフからプログラミングでSBOMを生成したり、サードパーティーのGitHub Actionを使って、ビルド時にSBOMを生成したりすることもできる。さらに、依存関係グラフからSBOMを生成するためのREST APIが、近いうちに公開されることになっている。

　新しいSBOMエクスポート機能は、GitHubのサプライチェーンセキュリティソリューションの一部として、GitHubの全てのクラウドリポジトリで無料で利用できる。

新機能の使い方

　SBOMを生成するには、リポジトリの依存関係グラフの新しい「Export SBOM」ボタンをクリックするだけで済む。

リポジトリの依存関係グラフ（提供：GitHub）

　これにより、機械可読でSPDXフォーマットのJSONファイルが生成される。

JSONファイルの内容（提供：GitHub）

　米国では、2021年5月に発令された、米国連邦政府機関におけるサイバーセキュリティ強化に関する大統領令（EO #14028）を受けて、官民を問わず、セキュリティおよびコンプライアンスチームが、ソフトウェアプロジェクトのオープンソースコンポーネントを特定し、新たな脅威に対する脆弱性の評価や、ライセンスポリシーとの整合性を確認する目的で、SBOMを要求することが増えている。そこでGitHubは、SBOMを簡単に作成、共有できるようにするため、新しいSBOMエクスポート機能を用意したという。