「SBOM」(Software Bill of Materials)を使うことで、セキュリティの向上を図ることができる。そのフォーマットの一つとして「SPDX」がある。これはどのようなフォーマットで、何ができるのか。
ソフトウェア部品表である「SBOM」(Software Bill of Materials)は、ソフトウェアのライセンス管理や、脆弱(ぜいじゃく)性の特定に役立つ。SBOMには以下3つのフォーマットがある。
これらは何が違うのか。SPDXの構成要素や、利用できるツールを紹介する。
SPDXはオープンソースソフトウェア(OSS)開発を手掛けるLinux Foundationが提供している。2021年、「ISO/IEC 5962:2021」として国際標準化された。企業はSPDXを利用することで、ソフトウェアコンポーネントのライセンス管理の他、脆弱性の特定や修正ができる。SPDXは大規模な組織を中心に採用が広がりつつある。
SPDXの利用に当たっては、ソフトウェアを識別するための基準として以下が利用できる。
SPDXでは「JSON」(JavaScript Object Notation)や「RDF」(Resource Description Framework)、「YAML」といったさまざまなデータ形式が利用できる。
SPDXは以下の3つから構成される。
SPDXのツールには、商用のツールとオープンソースのツールがある。オープンソースの主なツールは以下の通りだ。
後編は、SWID Tagを紹介する。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
2025年のバレンタインデーに関するX投稿 「リポスト」を生むアカウントとは?
企業アカウントによるバレンタインデーキャンペーンが、Xユーザーの関心を集め、多くのリ...
どんな企業にも「縦型」「多言語」の動画コンテンツが必要な理由
マーケティングを進化させる鍵になるAI。具体的にはどのような形でツールに実装されてい...
成人ユーザーの半数がブランドについて調べるために使っているSNSは?
世界のデジタルトレンドに関する年次レポート「Digital 2025」から気になるポイントを抜...