GitHubリポジトリからSBOMを簡単に生成できる新機能をリリース、GitHub:業界標準のSPDXフォーマットのJSONファイルを生成
GitHubは、GitHubのクラウドリポジトリからワンクリックで、米商務省のNTIAのガイドラインに準拠した「SBOM」(ソフトウェア部品表)を生成できる新機能を発表した。
GitHubは2023年3月28日(米国時間)、GitHubのクラウドリポジトリへの読み取りアクセスが可能な人なら誰でも、ワンクリックで「SBOM(Software Bill of Materials:ソフトウェア部品表)」を生成できるSBOMエクスポート機能を発表した。この機能で生成されるSBOMは、米国商務省のNTIA(国家電気通信情報局)が発表したSBOMの最小要素のガイドラインに準拠している。
この新しいSBOMエクスポート機能では、プロジェクトの依存関係とメタデータ(バージョンやライセンスのような)を業界標準の「SPDX」フォーマットで保存したJSONファイルが生成される。このファイルは、セキュリティやコンプライアンスのためのワークフローやツールで使用したり、「Microsoft Excel」でレビューしたりできる。「Google Sheets」との互換性を確保するには、JSONからCSVへのコンバーターを使用する。
SBOMエクスポート機能により、SBOMをオンデマンドで簡単に生成できるが、開発者はSBOMの生成を、開発ワークフローの通常のステップにすることもできる。
プロジェクトのSBOMが既にある場合は、それをGitHubリポジトリの依存関係グラフにアップロードして、既知の脆弱(ぜいじゃく)性がある依存関係について、Dependabotアラートを受け取ることができる。
また、GitHubのSBOM用gh CLI拡張機能「gh-sbom」を使って、リポジトリの依存関係グラフからプログラミングでSBOMを生成したり、サードパーティーのGitHub Actionを使って、ビルド時にSBOMを生成したりすることもできる。さらに、依存関係グラフからSBOMを生成するためのREST APIが、近いうちに公開されることになっている。
新しいSBOMエクスポート機能は、GitHubのサプライチェーンセキュリティソリューションの一部として、GitHubの全てのクラウドリポジトリで無料で利用できる。
新機能の使い方
SBOMを生成するには、リポジトリの依存関係グラフの新しい「Export SBOM」ボタンをクリックするだけで済む。
これにより、機械可読でSPDXフォーマットのJSONファイルが生成される。
米国では、2021年5月に発令された、米国連邦政府機関におけるサイバーセキュリティ強化に関する大統領令(EO #14028)を受けて、官民を問わず、セキュリティおよびコンプライアンスチームが、ソフトウェアプロジェクトのオープンソースコンポーネントを特定し、新たな脅威に対する脆弱性の評価や、ライセンスポリシーとの整合性を確認する目的で、SBOMを要求することが増えている。そこでGitHubは、SBOMを簡単に作成、共有できるようにするため、新しいSBOMエクスポート機能を用意したという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
「SBOM」が大きな注目を浴びている。そもそもSBOMとは何なのだろうか。なぜ米国は大統領令でこれを取り上げたのか。日本企業は対応する必要があるのか。どう対応すればいいか。ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは?
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決! OSSコンプライアンス」。今回は、協力会社を巻き込んだ開発で重要性を増す、話題のSBOMと標準フォーマットを詳しく解説します。
Linux FoundationがDBoM(デジタル部品表)プロジェクトを発表 サプライチェーン運用の一手となるか
Linux Foundationは2023年3月7日(米国時間)、Digital Bill of Materials(DBoM)プロジェクトの開始を発表した。