「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に？ OpenSSFが発表：2大フォーマットの「SPDX」「CycloneDX」に対応 OSSとして公開

OpenSSFは、CISAやDHS S＆Tと共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。SBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできる。

[＠IT]

　Open Source Security Foundation（OpenSSF）は2024年4月16日（米国時間）、米国の国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) および国土安全保障省 (DHS) 科学技術総局 (S&T) と共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。

　Protobomは、SBOM（Software Bill of Materials：ソフトウェア部品表）に関連するファイルデータを読み取り、業界標準のSBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできるオープンソースソフトウェア（OSS）だ。商用およびオープンソースのアプリケーションに統合することもできる。

　OpenSSFは「ソフトウェアサプライチェーンを理解し、既知の脆弱（ぜいじゃく）性を把握するために使用されるSBOMは、サイバーセキュリティリスク管理に不可欠だ」との認識を示す。その上で、「複数のSBOMフォーマットや識別スキームがあり、組織にとって導入が難しい。Protobomは、中立のデータレイヤーを提供し、どのような種類のSBOMでもアプリケーションがシームレスに機能するよう設計されている」と述べている。

　ProtobomのGitHubリポジトリによると、発表時点ではSBOMの2大フォーマットである「SPDX」および「CycloneDX」へのアクセス、読み取り、変換に対応しているという。

　CISAの上級顧問兼ストラテジストのアラン・フリードマン氏は「ソフトウェアの脆弱性は重大なサイバーセキュリティリスクであり、SBOMを活用することで迅速かつ効率的に対処できる。Protobomを通じて、異なるSBOMフォーマット間でのデータ変換を容易にし、より透明で効率的なソフトウェアサプライチェーン管理ができるよう支援する」と述べている。