「SBOM」(Software Bill of Materials)の複数のフォーマットの中で、「SWID Tag」は他のものと少し位置付けが違う。CycloneDX、SPDXとは何が異なるのか。利用するメリットとは。
ソフトウェア部品表である「SBOM」(Software Bill of Materials)には、以下3つのフォーマットがある。
このうち、SWID Tagは少し特殊だ。それはなぜなのか。CycloneDX、SPDXと比較しながらSWID Tagの特徴を整理しよう。
SWID Tagは米国立標準技術研究所(NIST:National Institute of Standards and Technology)が開発している。CycloneDXやSPDXと異なり、全てのソフトウェア情報を集約するものではないため、完全なSBOMフォーマットとは言えない。SWID Tagはソフトウェア開発者がソフトウェアの各コンポーネントに付ける“タグ”だ。インストールされたソフトウェアを追跡し、ライセンス管理やパッチ(修正プログラム)管理ができる。
SWID Tagを自動スキャンツールに統合して、脆弱(ぜいじゃく)性スキャンに利用することができる。NISTはSWID Tagのデータを米国政府の脆弱性データベース「National Vulunerability Database」(NVD)や、脆弱性管理を自動化するための基準「Secure Content Automation Protocol」(SCAP、セキュリティ設定共通化手順)に追加している。
SWID Tagはソフトウェアの追跡に加え、ユーザー企業に以下のメリットをもたらす。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
SASのCMOが語る マーケティング部門が社内の生成AI活用のけん引役に適している理由
データとアナリティクスの世界で半世紀近くにわたり知見を培ってきたSAS。同社のCMOに、...
SALES ROBOTICSが「カスタマーサクセス支援サービス」を提供
SALES ROBOTICSは、カスタマーサクセスを実現する新サービスの提供を開始した。
「Fortnite」を活用 朝日広告社がメタバース空間制作サービスとマーケティング支援を開始
朝日広告社は、人気ゲーム「Fortnite」に新たなゲームメタバース空間を公開した。また、...