SBOM(Software Bill of Materials、ソフトウェア部品表)は、ソフトウェア製品に含まれるすべての構成要素とそれぞれの依存関係をリスト化したものです。これにより、ソフトウェアの脆弱性やライセンス違反のリスクを可視化し、管理することができます。
経緯や歴史
SBOMは、ソフトウェアサプライチェーンのセキュリティを強化するために注目されるようになりました。特に、2021年に米国で発行された「サイバーセキュリティ向上を目的とした大統領令」がきっかけとなり、世界的に普及が進んでいます。
メリットとデメリット
メリット:
- ソフトウェアの脆弱性を迅速に特定・修正できる
- ライセンス違反のリスクを低減
- ソフトウェア管理コストの削減
デメリット:
- 導入と運用にコストがかかる
- 環境整備や知識・情報が不十分な場合がある
他の類似案件との比較
SBOMに類似する概念として、ソフトウェア構成管理(SCM)があります。SCMは、ソフトウェアのバージョン管理や変更管理を行うための手法であり、SBOMはその一部として機能します。
代表的なシステムやツール
代表的なSBOMツールには、SPDX(Software Package Data Exchange)やCycloneDXがあります。これらのツールは、ソフトウェアコンポーネントの出どころ、ライセンス、セキュリティ情報などを管理するために使用されます。
