「CPython」がSBOMに対応　PSFがSPDX形式のSBOMドキュメントを公開：Python（CPython）ユーザーの脆弱性管理を支援

Python Software Foundationは、Pythonのレファレンス実装である「CPython」において、SPDXフォーマットのSBOMドキュメントを公開した。

» 2024年03月05日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　プログラミング言語「Python」の開発、普及、発展に取り組む非営利団体のPython Software Foundation（PSF）は2024年2月8日（米国時間、以下同）、Pythonのレファレンス実装である「CPython」のSBOM（Software Bill of Materials：ソフトウェア部品表）ドキュメントを公開したと発表した。

　SBOMは、特定のソフトウェアがどのようなコンポーネントで構成されているか、ソフトウェア内の各コンポーネントが他のコンポーネントとどのように関連しているかを説明する機械可読なドキュメントだ。

　SBOMドキュメントは複数の領域や業界でコンプライアンスの要件になりつつある。これらの要件を満たすために、CPython用の包括的で正確なSBOMを公開したと、PSFは述べている。

　CPythonのSBOMドキュメントは、2月6日に公開された「Python 3.12.2」のリリースページからダウンロードできる。

CPythonのSBOMドキュメントに含まれる内容

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。
「経営者への説明付き」のSBOM導入手引書を公開　経済産業省
経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定したと発表した。SBOMを導入する利点や実際に導入するに当たって実施すべきポイントをまとめた。
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは？
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。今回は、協力会社を巻き込んだ開発で重要性を増す、話題のSBOMと標準フォーマットを詳しく解説します。