2024年01月16日 05時00分 公開
特集/連載

ソフトウェア部品表「SBOM」は1つじゃない 「CycloneDX」とは何か?SBOM「3つのフォーマット」を比較【前編】

企業はSBOM(Software Bill of Materials)を利用したソフトウェア管理によってセキュリティを強化することができる。SBOMにはどのようなフォーマットがあるのか。

[Ravi DasTechTarget]

 ソフトウェア部品表である「SBOM」(Software Bill of Materials)は、ソフトウェアの各コンポーネントを一覧化し、脆弱(ぜいじゃく)性を特定することに活用できる。SBOMには、以下3つのフォーマットがある。

  • CycloneDX
  • Software Package Data Exchange(SPDX)
  • Software Identification Tag(SWID Tag、またはSWID)

 自社に適しているのはどれなのか。まずはCycloneDXを押さえておこう。

SBOMのフォーマット「CycloneDX」とは? どんな機能がある?

 CycloneDXを提供しているのは、セキュリティ関連のオープンソースソフトウェア(OSS)コミュニティーOWASP(Open Web Application Security Project)だ。CycloneDXはソフトウェア開発において、ソースコードの安全性を高めてセキュリティリスクの低減を図ることを目的としている。他のSBOMフォーマットと比べて軽量なため、小規模な変更を短期間のうちに繰り返すアジャイル型の開発に適していると考えられる。

 具体的には、CycloneDXはソフトウェアのコンポーネントや構成を整理し、一覧で把握できるようにする。セキュリティ担当は一覧を見て、脆弱性を特定・追跡するための情報を手に入れることができる。CycloneDXはマークアップ言語「XML」(Extensible Markup Language)やデータ記述形式「JSON」(JavaScript Object Notation)に準拠している。

CycloneDXの主な機能

  • Software as a Service BOM(SaaSBOM)
    • SaaSのさまざまなコンポーネントやサービスを文書化する。「HTTP」「HTTPS」「REST」「GraphQL」「MQTT」に準拠
  • Hardware BOM(HBOM)
    • IoT(モノのインターネット)デバイスや産業用制御システムのソフトウェアを文書化
  • Machine Learning BOM(ML-BOM)
    • ソフトウェアに組み込まれた機械学習機能や人工知能(AI)モデルを文書化
  • Operations BOM(OBOM)
    • ランタイム環境とそのハードウェアやシステム、ファームウェア、ライブラリの詳細を明確化
  • Vulnerability Disclosure Report(VDR)
    • ソフトウェアの脆弱性とその修復方法のレポートを作成
  • Vulnerability Exploitability eXchange(VEX)
    • 脆弱性についての詳細や、修復の取り組みを文書化

 中編は、SPDXを取り上げる。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

ITmedia マーケティング新着記事

news200.png

韓国と台湾の訪日旅行客 旅マエ検索データで分かった行きたい場所の傾向は?
グローバルマーケティングを手がけるアウンコンサルティングが、2023年の訪日外国人客の...

news150.jpg

新進D2CコスメブランドのCMOが激推し 「Meta Advantage+ ショッピングキャンペーン」とは?
Meta幹部はD2CコスメブランドJones Road BeautyのCMOとのラウンドテーブルで、2024年に広...

news091.jpg

2023年の動画広告市場は前年比112%の6253億円 縦型動画広告が高成長――サイバーエージェント調査
サイバーエージェントが10回目となる国内動画広告市場の調査結果を発表しました。