「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に？　OpenSSFが発表：2大フォーマットの「SPDX」「CycloneDX」に対応　OSSとして公開

OpenSSFは、CISAやDHS S＆Tと共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。SBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできる。

» 2024年04月26日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Open Source Security Foundation（OpenSSF）は2024年4月16日（米国時間）、米国の国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) および国土安全保障省 (DHS) 科学技術総局 (S&T) と共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。

　Protobomは、SBOM（Software Bill of Materials：ソフトウェア部品表）に関連するファイルデータを読み取り、業界標準のSBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできるオープンソースソフトウェア（OSS）だ。商用およびオープンソースのアプリケーションに統合することもできる。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

「CPython」がSBOMに対応　PSFがSPDX形式のSBOMドキュメントを公開
Python Software Foundationは、Pythonのレファレンス実装である「CPython」において、SPDXフォーマットのSBOMドキュメントを公開した。
「SBOMの作成は発注時に依頼する必要あり？」　「SBOMって何のために作るの？」
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決！ OSSコンプライアンス」。今回は、協力会社との関係でどのようにSBOMを生かすべきかを解説します。
GitHubリポジトリからSBOMを簡単に生成できる新機能をリリース、GitHub
GitHubは、GitHubのクラウドリポジトリからワンクリックで、米商務省のNTIAのガイドラインに準拠した「SBOM」（ソフトウェア部品表）を生成できる新機能を発表した。