GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に

ZDNET Japan Staff

2023-04-07 17:28

 ギットハブ・ジャパン(GitHub)は4月7日、クラウド上のリポジトリーからソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できる「ソフトウェア部品表」(SBOM)の作成機能「Export SBOM」を発表した。GitHubの全てのクラウドリポジトリーで無償利用できる。

 SBOMは、企業や組織などで使われるソフトウェアの脆弱(ぜいじゃく)性を悪用したサイバー攻撃が深刻な被害をもたらしていることを踏まえて、2021年5月にJoe Biden米大統領が署名したサイバーセキュリティ対策の強化を目指す大統領令に盛り込まれた。同令では、ソフトウェア開発組織に対し、ソフトウェア製品を構成するコンポーネントやライブラリーなどを“部品”と位置づけ、採用している“部品”の種類やバージョン、更新状況といった情報を把握、管理することを求めている。

 Export SBOM機能は、GitHubのクラウドリポジトリーへの読み取りアクセス権を持つユーザーがセルフサービスで利用でき、リポジトリーの「依存グラフ」に設置されたボタンをクリックするだけで米商務省電気通信情報局(NTIA)に準拠したJSONファイルのSBOMを作成できる。ファイルにはバージョンやライセンスなどプロジェクトの依存関係、メタデータが保存され、セキュリティやコンプライアンスのツールに取り込むことにより、脆弱性管理なども容易に行える。

依存グラフの画面に設置された「Export SBOM」ボタンからワンクリックでSBOMを作成
依存グラフの画面に設置された「Export SBOM」ボタンからワンクリックでSBOMを作成
作成されるSBOMはSPDX形式のJSONファイルで、セキュリティやコンプライアンスの管理ツールに取り込み、脆弱生管理などにも利用できる
作成されるSBOMはSPDX形式のJSONファイルで、セキュリティやコンプライアンスの管理ツールに取り込み、脆弱生管理などにも利用できる

 また、作成したSBOMを開発のワークフローに組み込んだり、作成済みのSBOMを依存関係グラフに取り込み既知の脆弱性がある全ての依存関係に関するアラートを受信したりできる。GitHubの「SBOM gh CLI」拡張機能を使って依存グラフからSBOMをプログラムで生成したり、ビルド時にSBOMを生成したりもできる。

 同社では、近日中に依存関係グラフからSBOMを生成するREST APIも提供する予定だという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]