今日のシステム開発において、OSSの利用はもはや当たり前の時代となりました。
OpenStandiaも、オープンソース導入サービスにおいて、多くのOSSを利用しています。 その一方で、2021年には「Apache Log4j」の深刻な脆弱性(Log4Shell)が発生するなど、ソフトウェアのサプライチェーンにおける脆弱性のリスクが課題となってきています。

ソフトウェアサプライチェーンにおいては、直接利用しているソフトウェアだけではなく、推移的に依存しているソフトウェアも含めて 網羅的に管理する必要があります。
特に、積極的にOSSを活用しているシステムでは、数百というオーダのOSSを利用しているケース もあり、これらの複雑な構造を全て管理するのは、システム開発現場にとって大変な負荷となりつつあります。
そこへ、ソフトウェアの構成表として製品に含むソフトウェアや互いの依存関係、ライセンス情報などをリスト化したSBOMが注目されてきています。

米国では、国家レベルのサイバー紛争やサイバー攻撃が多発したことを受け、2021年5月に大統領令が発令され、SBOMの作成が義務化されました。 日本でも経済産業省により産業分野ごとのSBOM導入に向けた議論や実証実験が始まるなど、普及に向けた取り組みが進んでいます。

SBOMは、下記の用途で活用されます。

1. SBOMと最新の脆弱性情報の比較による、SBOMに記載のソフトウェアの脆弱性の検知と影響範囲の特定

1. SBOMに含まれるライセンス情報を元にした、ライセンス違反の検知

OpenStandiaが提供する3つのサービス（オープンソース年間サポートサービス、 オープンソース導入サービス、プロフェッショナルサービス）のうち、 オープンソース導入サービスで提供したシステムに対してSBOMのご提供が可能となります。