GitHub、クラウドリポジトリ向けの新しいSBOM生成ツールの提供を開始

オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェアの開発プラットフォームを提供するGitHub, Inc.（本社：米国サンフランシスコ）は、2023年3月28日(米国時間)に開発者とコンプライアンスチームの方々を対象に、クラウドリポジトリ向けの新しいSBOM生成ツールの提供を開始しました。






(リンク »)


サイバーセキュリティの強化に関する大統領令第14028号（ (リンク ») ）という先例に倣い、セキュリティやコンプライアンスチームからのソフトウェア部品表(SBOM)の要求が増加しています。この目的は、ソフトウェアプロジェクトのオープンソースコンポーネントを特定し、新たな脅威に対するその脆弱性を評価したり、ライセンスポリシーとの整合性を確認することであり、そのためSBOMを簡単に生成し、共有することが求められています。

GitHubは、新たに導入するExport SBOM機能において、GitHubのクラウドリポジトリに対する読み取りアクセス権のあるユーザーなら誰でも、クリック1回でNTIA（ (リンク ») ）準拠のSBOMを生成できることを発表しました。作成されたJSONファイルは、バージョンやライセンスなどプロジェクトの依存関係とメタデータを業界標準のSPDX形式で保存するため、セキュリティおよびコンプライアンスのワークフローやツールで利用したり、Microsoft Excelでレビューすることが可能です(JSONからCSVへのコンバーターを使うとGoogle Sheetsとの互換性も確保できます)。

本セルフサービスの新機能を利用することで、オンデマンドで簡単にSBOMを生成できるほか、開発者が開発ワークフローの通常のステップにSBOM生成を組み込むことも可能です。すでにプロジェクトのSBOMがある場合は、依存関係グラフにアップロード（ (リンク ») ）することで既知の脆弱性があるすべての依存関係に関してDependabotアラートを受信できます。また、GitHubのSBOM gh CLI拡張機能（ (リンク ») ）を使用して、リポジトリの依存グラフからSBOMをプログラムで生成できるほか、GitHub Action（ (リンク ») ）により、ビルド時にSBOMを生成することもできます。今後、依存関係グラフからSBOMを生成するREST APIも近日中に提供予定です。

セルフサービスのSBOMは、GitHubのサプライチェーンセキュリティソリューションの一環として、GitHubのすべてのクラウドリポジトリで無料で利用できます。

変更点

SBOMを生成するには、リポジトリの依存グラフにある新しい[Export SBOM]ボタンをクリックしてください。



(リンク »)


これにより、機械可読なJSONファイルがSPDX形式で作成されます。



(リンク »)

SBOMの詳細について


SBOMドキュメント（ (リンク ») ）
Dependency Submission API（ (リンク ») ）
GitHub SBOMコマンドラインインターフェイス(CLI)拡張機能（ (リンク ») ）
Microsoft SBOMツール（ (リンク ») ）



GitHub Blog
英語： (リンク »)

日本語： (リンク »)

GitHubに関する情報は、こちらからもご覧いただけます。
Blog： 　(英語) (リンク ») 　　　(日本語) (リンク »)
Twitter： (英語) @github( (リンク ») )　　　
　　　　(日本語) @GitHubJapan( (リンク ») )

【GitHub について】 (リンク »)
GitHubは、すべての開発者のためのグローバルホームとして、安全なソフトウェアを構築、拡張、提供するための統合された開発者プラットフォームです。フォーチュン100社に採択された企業のうち90社に所属する開発者を含む1億人以上がGitHubを利用し、3億3千万以上のリポジトリで素晴らしいものを共に創造しています。GitHubのすべてのコラボレーション機能によって、個人やチームがより迅速に、より高品質なコードを書くことがかつてないほど容易になっています。