「CPython」がSBOMに対応 PSFがSPDX形式のSBOMドキュメントを公開:Python(CPython)ユーザーの脆弱性管理を支援
Python Software Foundationは、Pythonのレファレンス実装である「CPython」において、SPDXフォーマットのSBOMドキュメントを公開した。
プログラミング言語「Python」の開発、普及、発展に取り組む非営利団体のPython Software Foundation(PSF)は2024年2月8日(米国時間、以下同)、Pythonのレファレンス実装である「CPython」のSBOM(Software Bill of Materials:ソフトウェア部品表)ドキュメントを公開したと発表した。
SBOMは、特定のソフトウェアがどのようなコンポーネントで構成されているか、ソフトウェア内の各コンポーネントが他のコンポーネントとどのように関連しているかを説明する機械可読なドキュメントだ。
SBOMドキュメントは複数の領域や業界でコンプライアンスの要件になりつつある。これらの要件を満たすために、CPython用の包括的で正確なSBOMを公開したと、PSFは述べている。
CPythonのSBOMドキュメントは、2月6日に公開された「Python 3.12.2」のリリースページからダウンロードできる。
CPythonのSBOMドキュメントに含まれる内容
CPythonのSBOMドキュメントでは、Linux FoundationのSPDX Workgroupが開発しているSBOMフォーマット「SPDX」(System Package Data eXchange)が採用された。CPythonのSBOMドキュメントに含まれる情報は以下の通り。
- 全てのソフトウェアコンポーネントの名前とバージョン
- ソフトウェア識別子(CPE〈Common Platform Enumeration:共通プラットフォーム一覧〉やパッケージURLなど)
- チェックサム付きのソースコードのダウンロードURL
- ファイル名とチェックサム
- 各コンポーネント間の依存関係
PSFによると、CPythonのSBOMドキュメントは、NTIA(米国商務省電気通信情報局)が公開している「SBOMの最小要素(PDF)」を満たす内容だという。
一方で、「OpenSSL」「zlib」のような、Pythonをコンパイルするために自身で用意する必要があるソフトウェアライブラリは、CPythonが提供するSBOMドキュメントに含まれていない。別のSBOMドキュメントで管理するか、CPythonが提供するSBOMドキュメントに追加するなど、自分自身で対応する必要があると、PSFは述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
使用していたオープンソースのソフトウェアに使われていたライブラリに脆弱性があったことに気付かないでいたことで、攻撃を受けてしまったという事例が発生しています。これはLinuxだけでなく、Windows OSでも起こり得る事態です。こうしたリスクを軽減する方策として、SBOMと呼ばれるOSSのサプライチェーン管理の手法があります。今回はSBOMとはどういったものなのかについて解説します。
「経営者への説明付き」のSBOM導入手引書を公開 経済産業省
経済産業省は「ソフトウェア管理に向けたSBOMの導入に関する手引」を策定したと発表した。SBOMを導入する利点や実際に導入するに当たって実施すべきポイントをまとめた。
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは?
OSSコンプライアンスに関するお悩みポイントと解決策を具体的に紹介する連載「解決! OSSコンプライアンス」。今回は、協力会社を巻き込んだ開発で重要性を増す、話題のSBOMと標準フォーマットを詳しく解説します。