GitHubリポジトリからSBOMを簡単に生成できる新機能をリリース、GitHub：業界標準のSPDXフォーマットのJSONファイルを生成

GitHubは、GitHubのクラウドリポジトリからワンクリックで、米商務省のNTIAのガイドラインに準拠した「SBOM」（ソフトウェア部品表）を生成できる新機能を発表した。

» 2023年04月03日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　GitHubは2023年3月28日（米国時間）、GitHubのクラウドリポジトリへの読み取りアクセスが可能な人なら誰でも、ワンクリックで「SBOM（Software Bill of Materials：ソフトウェア部品表）」を生成できるSBOMエクスポート機能を発表した。この機能で生成されるSBOMは、米国商務省のNTIA（国家電気通信情報局）が発表したSBOMの最小要素のガイドラインに準拠している。

　この新しいSBOMエクスポート機能では、プロジェクトの依存関係とメタデータ（バージョンやライセンスのような）を業界標準の「SPDX」フォーマットで保存したJSONファイルが生成される。このファイルは、セキュリティやコンプライアンスのためのワークフローやツールで使用したり、「Microsoft Excel」でレビューしたりできる。「Google Sheets」との互換性を確保するには、JSONからCSVへのコンバーターを使用する。

　SBOMエクスポート機能により、SBOMをオンデマンドで簡単に生成できるが、開発者はSBOMの生成を、開発ワークフローの通常のステップにすることもできる。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは？
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。今回は、協力会社を巻き込んだ開発で重要性を増す、話題のSBOMと標準フォーマットを詳しく解説します。
Linux FoundationがDBoM（デジタル部品表）プロジェクトを発表　サプライチェーン運用の一手となるか
Linux Foundationは2023年3月7日（米国時間）、Digital Bill of Materials（DBoM）プロジェクトの開始を発表した。