トップ ニュース SBOMの提供開始のお知らせ

SBOMの提供開始のお知らせ

平素よりOpenStandiaをご利用いただき誠にありがとうございます。
この度、OpenStandiaにおいて、SBOM(Software Bill of Materials、ソフトウェア部品表)の提供を開始しましたのでお知らせいたします。

OSSの必要性と危険性

今日のシステム開発において、OSSの利用はもはや当たり前の時代となりました。
OpenStandiaも、オープンソース導入サービスにおいて、多くのOSSを利用しています。 その一方で、2021年には「Apache Log4j」の深刻な脆弱性(Log4Shell)が発生するなど、ソフトウェアのサプライチェーンにおける脆弱性のリスクが課題となってきています。

SBOMとは

ソフトウェアサプライチェーンにおいては、直接利用しているソフトウェアだけではなく、推移的に依存しているソフトウェアも含めて 網羅的に管理する必要があります。
特に、積極的にOSSを活用しているシステムでは、数百というオーダのOSSを利用しているケース もあり、これらの複雑な構造を全て管理するのは、システム開発現場にとって大変な負荷となりつつあります。
そこへ、ソフトウェアの構成表として製品に含むソフトウェアや互いの依存関係、ライセンス情報などをリスト化したSBOMが注目されてきています。

米国では、国家レベルのサイバー紛争やサイバー攻撃が多発したことを受け、2021年5月に大統領令が発令され、SBOMの作成が義務化されました。 日本でも経済産業省により産業分野ごとのSBOM導入に向けた議論や実証実験が始まるなど、普及に向けた取り組みが進んでいます。

SBOMの用途

SBOMは、下記の用途で活用されます。

  1. SBOMと最新の脆弱性情報の比較による、SBOMに記載のソフトウェアの脆弱性の検知と影響範囲の特定
sbomイメージ
  1. SBOMに含まれるライセンス情報を元にした、ライセンス違反の検知

OpenStandiaでご提供可能なSBOM

OpenStandiaが提供する3つのサービス(オープンソース年間サポートサービス、 オープンソース導入サービス、プロフェッショナルサービス)のうち、 オープンソース導入サービスで提供したシステムに対してSBOMのご提供が可能となります。

ご参考:SBOMツールの導入サービス
SBOMツールの導入については、GitLab Ultimateを提供するGitLab社と販売代理店契約を締結している において、ソフトウェアの脆弱性管理に適したSBOM作成ツールの提案、および導入支援サポートまで提供しています。 詳細は下記をご参照ください。
OSSをそのままお届けするのではなく、システムに必要な最適な機能を提供するのがOpenStandiaソリューションです。
下記コンテンツも
あわせてご確認ください。