「SBOM」(Software Bill of Materials)の複数のフォーマットの中で、「SWID Tag」は他のものと少し位置付けが違う。CycloneDX、SPDXとは何が異なるのか。利用するメリットとは。
ソフトウェア部品表である「SBOM」(Software Bill of Materials)には、以下3つのフォーマットがある。
このうち、SWID Tagは少し特殊だ。それはなぜなのか。CycloneDX、SPDXと比較しながらSWID Tagの特徴を整理しよう。
SWID Tagは米国立標準技術研究所(NIST:National Institute of Standards and Technology)が開発している。CycloneDXやSPDXと異なり、全てのソフトウェア情報を集約するものではないため、完全なSBOMフォーマットとは言えない。SWID Tagはソフトウェア開発者がソフトウェアの各コンポーネントに付ける“タグ”だ。インストールされたソフトウェアを追跡し、ライセンス管理やパッチ(修正プログラム)管理ができる。
SWID Tagを自動スキャンツールに統合して、脆弱(ぜいじゃく)性スキャンに利用することができる。NISTはSWID Tagのデータを米国政府の脆弱性データベース「National Vulunerability Database」(NVD)や、脆弱性管理を自動化するための基準「Secure Content Automation Protocol」(SCAP、セキュリティ設定共通化手順)に追加している。
SWID Tagはソフトウェアの追跡に加え、ユーザー企業に以下のメリットをもたらす。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Z世代が考える「日本が最も力を入れて取り組むべき課題」1位は「ジェンダー平等」――SHIBUYA109 lab.調査
SDGsで挙げられている17の目標のうち、Z世代が考える「日本が最も力を入れて取り組むべき...
高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...
IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...