「SBOM」(Software Bill of Materials)の複数のフォーマットの中で、「SWID Tag」は他のものと少し位置付けが違う。CycloneDX、SPDXとは何が異なるのか。利用するメリットとは。
ソフトウェア部品表である「SBOM」(Software Bill of Materials)には、以下3つのフォーマットがある。
このうち、SWID Tagは少し特殊だ。それはなぜなのか。CycloneDX、SPDXと比較しながらSWID Tagの特徴を整理しよう。
SWID Tagは米国立標準技術研究所(NIST:National Institute of Standards and Technology)が開発している。CycloneDXやSPDXと異なり、全てのソフトウェア情報を集約するものではないため、完全なSBOMフォーマットとは言えない。SWID Tagはソフトウェア開発者がソフトウェアの各コンポーネントに付ける“タグ”だ。インストールされたソフトウェアを追跡し、ライセンス管理やパッチ(修正プログラム)管理ができる。
SWID Tagを自動スキャンツールに統合して、脆弱(ぜいじゃく)性スキャンに利用することができる。NISTはSWID Tagのデータを米国政府の脆弱性データベース「National Vulunerability Database」(NVD)や、脆弱性管理を自動化するための基準「Secure Content Automation Protocol」(SCAP、セキュリティ設定共通化手順)に追加している。
SWID Tagはソフトウェアの追跡に加え、ユーザー企業に以下のメリットをもたらす。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
インフレ下の旅行トレンド 日本人の半数以上がお金の節約のために旅の日程を変更――Criteo調査
Criteoは米国、英国、フランス、ドイツ、韓国、日本の6カ国の消費者を対象に、インフレが...
生成AI「Grok」はXを存続の危機から救うか?
広告主のX離れが続く中、イーロン・マスク氏は新たな収入源を確立することができるのだろ...
小売り、消費財、旅行商品の購入における「情報過多」の影響――アクセンチュア調査
消費者は意思決定にまつわる雑音に悩まされていますが、生成 AI が問題解決の鍵となりそ...