FOSSAがCycloneDXとSBOMインポートに対応しました
この内容は、FOSSA社のブログ記事を元に日本語に翻訳・再構成した内容となっております。
はじめに
OSS管理&SBOM管理ツール「FOSSA」の製品アップデートについて、本記事でお伝えします。ソフトウェア部品表(SBOM)の作成、管理、インポートにおいて、いくつかの新しい機能が追加されました。
これらの新機能は既存のSBOM関連機能を強化するもので、FOSSAユーザーがソフトウェアサプライチェーンのセキュリティと透明性を向上させることを可能にします。
CycloneDXのサポート
FOSSAはこの度、SBOMフォーマットの一つであるCycloneDXのサポートを発表しました。CycloneDX形式のSBOMをJSONまたはXMLで生成できるようになりました。
2017年に発表されたCycloneDXは主要なSBOMフォーマットの1つで、ソフトウェアインベントリの整備、アプリケーションセキュリティの確保、ソフトウェアサプライチェーンの信頼性担保など、さまざまなユースケースで活用されます。
またCycloneDXは米国政府が2021年に発表したサイバーセキュリティの大統領令で承認されたフォーマットの一つでもあります。
また脆弱性情報(メタデータや修正ガイダンスなど)を仕様の一部として含むSBOMフォーマットですので、ソフトウェアサプライチェーンにおける透明性と信頼性を向上させるうえで重要な役割を果たします。
CycloneDXのサポートは、FOSSAが既に提供しているSBOM関連機能への追加機能となります。FOSSAユーザーは既にSBOM生成に関してさまざまなカスタマイズ(ヘッダーや依存性メタデータを含む)ができますし、さまざまなフォーマット(SPDX、HTML、CSV、Markdownなど)での出力も可能です。またSPDXのサポートも拡大しており、SPDXレポートをJSONフォーマットで生成できるようになっています。
SBOMのインポート
昨今のソフトウェアには、独自のコードだけでなく、オープンソース、サードパーティアプリケーションなどが混在しています。
これまで企業はサードパーティアプリケーションを使用する際、詳細かつ正確にセキュリティリスクを把握することは非常に困難でしたが、最近のSBOMは人間にも機械にも読みやすく、広範な依存関係データを含んでいるので、この課題に対するソリューションになり得ます。
もちろん、昨今のアプリケーションにはさまざまなソフトウェアコンポーネントが膨大に存在するため、適切なツールなしにSBOMを有効活用することは困難です。
このため、サードパーティが生成したSBOMをインポートできる機能をFOSSAに実装しました。この機能により、FOSSAユーザーはすべてのSBOMを管理できるようになり、ソフトウェアサプライチェーンのセキュリティと透明性に関する取り組みにおいてSBOMの運用を容易にすることができます。
初期段階においては、SBOMインポートはCycloneDXをサポートします。またこの機能はFOSSAの有償版ユーザーのみが利用できる機能になります。