SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは?:解決!OSSコンプライアンス(10)
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決! OSSコンプライアンス」。今回は、協力会社を巻き込んだ開発で重要性を増す、話題のSBOMと標準フォーマットを詳しく解説します。
本連載では、オープンソースソフトウェア(OSS)の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。
今回からは、「SBOM(Software Bill of Materials:ソフトウェア部品表)」についての本格的な解説に入ります。SBOMは、広義では「ソフトウェアのリスト」あるいは「OSSのリスト」です。本連載でも、これまでに社内でOSSのリストを管理しながらプロジェクトを進行する場面がありました。
しかし、複数のパートナー企業と協力して、サプライチェーンにおけるコンプライアンスおよびセキュリティ担保の取り組みを進めるには、情報内容や記述形式の統一、さらには既存標準の活用が求められるようになってきます。
今回は、そうした狭義のSBOMを管理する場面を見ていきます。
なお、本連載では、特に記載がない限り日本国内でOSSを活用する場合を前提としており、本連載の執筆チームの経験に基づいて説明を記載しています。厳密な法解釈や海外での利用など、判断に迷う場合は専門家にご相談ください。
■今回の登場人物
新城くん 日本のソフトウェア開発会社X社で働く入社3年目の開発者。 佳美先輩のもとでOSS活用に関する経験を積み、大規模プロジェクトのメンバーに抜擢(ばってき)された。
神田さん 新城くんがモジュールの開発を委託しているY社の担当者。前回登場した蒲田さんの同僚で、ソフトウェア開発経験を見込まれて新たにSBOMの管理を任されることになった。Y社は開発の一部をZ社に再委託している。
エピソード15 SBOMって、何をどうやればいい?
新城くんは前回、Y社に開発を委託しているBモジュールとCモジュールについてのOSSのリスト、すなわちSBOMの提供を、同社にお願いしました。次の日、Y社の神田さんからメールを受け取りました。そこには、「できるだけ早く顔合わせのミーティングがしたい」とあります。そこで新城くんは、早々に神田さんとオンライン会議を開催します。挨拶も終わったころ、神田さんから「さっそく相談したいことが」と切り出されます。
Copyright © ITmedia, Inc. All Rights Reserved.