SBOM の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• SBOM へ行く。
• SBOM の差分を削除

#author("2024-12-01T07:49:31+00:00","default:hotate","hotate")
#author("2024-12-01T07:54:22+00:00","default:hotate","hotate")
#contents
&tag(ソフトウェア,品質,OSS,SBOM);

* 情報 [#j12cd867]
** 概要 [#s3c10987]
- [[サイバー攻撃への備えを！「SBOM」（ソフトウェア部品構成表）を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引を策定しました （METI/経済産業省）>https://www.meti.go.jp/press/2024/08/20240829001/20240829001.html]] (2024/8/29)
- [[SBOM | ソフトウェア部品管理ソリューション | 日立ソリューションズ>https://www.hitachi-solutions.co.jp/sbom/solution/sbom/]]

** ツール [#id7abced]
- [[VSCode拡張「Editor for SBOM」のご紹介 | ソフトウェア部品管理ソリューション | 日立ソリューションズ>https://www.hitachi-solutions.co.jp/sbom/blog/2023020101/]]
 Visual Studio CodeでSBOMファイルを閲覧する際に役立つ拡張機能「Editor for SBOM」の紹介です。

** Purl [#zf64da33]
- [[CPEの命名問題を軽減する解決策 Purl #SBOM - Qiita>https://qiita.com/ichijouji/items/83f52e7483c991a8794c]]
 Purl (package URL)はソフトウェアを一意に特定する識別子です。

** 背景 [#u42916d3]
- [「Log4shell」は何故これだけ騒がれたのか ｜ コラム](https://www.ipa.go.jp/security/sc3/activities/kougekiWG/content/column/col-vol02.html)
 Lo4jを使っているのかすぐに分からないということが大きな要因だった。自社やベンダー自身が構築したシステムならまだしも、システム内で使っているOSSやソフトウェア製品で実はLog4jを使っていたケースがあるためだ。

** [[2024]]年 [#t26e7b82]
- [[SBOM導入に向けた体制づくりを支援するソリューションを発売：IoTセキュリティ - MONOist>https://monoist.itmedia.co.jp/mn/articles/2411/15/news098.html]] (2024/11/15)
 同ソリューションは、「環境構築・体制整備」「SBOM作成・共有」「SBOM管理・運用」の3段階のフェーズに基づき、企業の状況やニーズに応じた各種ツール、サービスの組み合わせを提案する。
- [[SBOMとセキュリティの透明性 - すべてを統合する方法 - CODE BLUE 2024 #codeblue_jp | DevelopersIO>https://dev.classmethod.jp/articles/codeblue-2024-day1-track1-1450/]] (2024/11/14)
 CODE BLUE 2024で行われた「SBOMとセキュリティの透明性 - すべてを統合する方法」というセッションのレポートです。
- [[米国 NSA SBOM管理のための推奨事項 (Ver. 1.1): まるちゃんの情報セキュリティ気まぐれ日記>http://maruyama-mitsuhiko.cocolog-nifty.com/security/2024/01/post-f5eef5.html]] (2024/01/08)
 米国の国家安全保障局 (NSA) がSBOM管理のための推奨事項を更新していますね。。。 
- [[Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM：SBOM基礎知識 - ＠IT>https://atmarkit.itmedia.co.jp/ait/articles/2401/19/news001.html]] (2024/01/19)
 本記事では、Windows OSをはじめとするOSを使用する開発者やIT管理者、経営層などに向けて、ソフトウェアのサプライチェーンリスクや既知の脆弱（ぜいじゃく）性といったリスクと、それを解決するためのSBOM（Software Bill of Materials）の活用について説明していきます。
- [[トヨタ・ルネサス・キヤノンが力注ぐSBOM、欧米主導で企業間取引の条件に | 日経クロステック（xTECH）>https://xtech.nikkei.com/atcl/nxt/column/18/02758/022600001/]] (2024/02/29)
 国内市場でもSBOMの機運は高まっている。医療機器業界では、2024年4月からプログラムを用いた医療機器のSBOM対応が必須になる。
- [[「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に？　OpenSSFが発表：2大フォーマットの「SPDX」「CycloneDX」に対応　OSSとして公開 - ＠IT>https://atmarkit.itmedia.co.jp/ait/articles/2404/26/news081.html]] (2024/4/26)
 OpenSSFは、CISAやDHS S＆Tと共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。SBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできる。
- [[SBOMを噛み砕く>https://zenn.dev/sta/books/sbom-kamikudaku]] (2024/05/29)
 SBOM(Software Bill of Materials)を噛み砕きます。ざっくりと理解することを目的としています。
- [[経産省、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」の改訂版を公表|CodeZine（コードジン）>https://codezine.jp/article/detail/20134?]] (2024/09/04)
 「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引ver2.0」では、従来の手引書の内容に、ソフトウェアの脆弱性を管理する一連プロセスにおいて、SBOMを効果的に活用するための具体的な手順と考え方をまとめることで、SBOM活用による効果を高めるための参考情報（第7章「脆弱性管理プロセスの具体化」）が追加されている。
- [[ベリサーブ、ソフトウェアサプライチェーン管理パッケージ「SBOM.JP」発表 | TECH+（テックプラス）>https://news.mynavi.jp/techplus/article/20240906-3020173/]] (2024/09/06)
 競合製品とは異なる「SBOM.JP」のユニークな点について、「経済産業省のSBOM導入の手引きの3つのフェーズのうち、フェーズ2をカバーする製品が多いが、SBOM.JPはフェーズ3に焦点を置いている」と説明した。
-- https://www.veriserve.co.jp/service/detail/sbomjp.html
- [[経産省の本気が見える「SBOM導入の手引きver2.0」、ソフト調達・取引の指針に | 日経クロステック（xTECH）>https://xtech.nikkei.com/atcl/nxt/column/18/02936/090200001/]] (2024/09/24)
 本稿では、経産省のSBOM導入に関する手引きver2.0で新たに加わった項目「脆弱性管理プロセスの具体化」や「SBOM対応モデル」、「SBOM取引モデル」などを改めて解説する。

** [[2023]]年 [#ba9d4e0f]
- [[日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的：ソフトウェアサプライチェーンの守り方（2） - MONOist>https://monoist.itmedia.co.jp/mn/articles/2301/05/news006_3.html]] (2023/01/05)
 しかし、SBOMを利用することで全体像を把握できるようになる。これは、米国商務省電気通信情報局（NTIA）のSBOMによるソフトウェアエコシステムを示したチャートをご覧いただくのがよいと思う。
- [[ソフトウェアサプライチェーンセキュリティを「品質」で読み解く：ソフトウェアサプライチェーンの守り方（3） - MONOist>https://monoist.itmedia.co.jp/mn/articles/2302/09/news012.html]] (2023/2/9)
 最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
- [[米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない：IoTセキュリティ（1/2 ページ） - MONOist>https://monoist.itmedia.co.jp/mn/articles/2303/15/news084.html]] (2023/03/15)
 今回のOSSRAレポートでは、オープンソースを含むコードベースの割合が96％、全コードベースに占めるオープンソースの割合が76％となった
- [[ソフトの脆弱性に即応「SBOM」とは？　経産省導入促す - 日本経済新聞>https://www.nikkei.com/article/DGXZQOUA268EE0W3A720C2000000/]] (2023/07/28)
 経済産業省はサイバー攻撃対策で企業向けに新しい指針をまとめる。ソフトウエアを構成するプログラムを一覧化した「SBOM（エスボム、ソフトウエア部品表）」の作成を促し、脆弱性が見つかっても早期対応できるようにする。
- [[経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引: まるちゃんの情報セキュリティ気まぐれ日記>http://maruyama-mitsuhiko.cocolog-nifty.com/security/2023/08/post-fded87.html]] (2023/08/01)
 日本では、経済産業省が、このたび、SBOMの導入手引きを公開していますね。。。具体的につくられていて、かなり分かりやすくなっていると思います。参考文献のリストもちゃんとあって、分かりやすいです。。。
- [[経済産業省、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説 － Publickey>https://www.publickey1.jp/blog/23/sbomsoftware_bill_of_materialssbom.html]] (2023/08/02)
 経済産業省は「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定し公開したことを明らかにしました。
- [[日立ソリューションズ、「SBOM管理サービス」提供 - 脆弱性管理の自動化実現 | TECH+（テックプラス）>https://news.mynavi.jp/techplus/article/20231212-2839576/]] (2023/12/12)
 日立ソリューションズは12月12日、SBOM（Software Bill of Materials：ソフトウェア部品表）を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を行うプラットフォーム「SBOM管理サービス」を販売開始すると発表した。
- [[経産省のSBOM導入に関する手引きについて #Security - Qiita>https://qiita.com/AyumiWatanabe/items/e8414a2f35dca2b4b956]] (2023/12/15)
 今年の7月に経済産業省により「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」が策定、公開されました。既にお読みになった方も多いかもしれませんが、今日はこの手引について、改めて整理してみたいと思います。
- [[経産省SBOM導入手引を語る3日間！OSSマネジメントフォーラム2023 ～手引書作成メンバー（経産省、三菱総研、日立ソリュ）が勢揃い！～に関する記事一覧 - ログミー>https://logmi.jp/events/4198]] （2023年12月19日〜2023年12月21日）
- [[セキュアなソフトウェア開発　背景から理解するSBOM入門 #Docker - Qiita>https://qiita.com/Brutus/items/bfefe92df10ea22d73bf]] (2023/12/22)
 本記事では、背景からSBOMを理解するためにSBOMの基礎的なことについてまとめています。

** [[2022]]年 [#u8b40d8a]
- [[セキュリティを高める「SBOM」、なぜ利用が進んでいるのか：約8割の組織が2022年に利用を予定 - ＠IT>https://atmarkit.itmedia.co.jp/ait/articles/2202/03/news137.html]] (2022/02/03)
 「SBOMはもはや選択肢ではない。今回の調査によると、2022年には78％の組織がSBOMを作成または利用する予定だ」
- [[ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策：海外医療技術トレンド（82） - MONOist>https://monoist.itmedia.co.jp/mn/articles/2204/15/news029_3.html]] (2022/04/15)
 FDAは、同草案の「V．サイバーセキュリティリスクを管理するための SPDF（セキュア製品開発フレームワーク）利用」の「A．セキュリティリスクマネジメント」において、「2．サードパーティー製ソフトウェアコンポーネント」のサプライチェーンリスクマネジメント支援ツールとして、SBOMを取り上げている。
- [[組み込みソフト開発で重視されるSBOM、BlackBerryが国内パートナーと連携強化：組み込み開発ニュース - MONOist>https://monoist.itmedia.co.jp/mn/articles/2204/26/news049.html#utm_medium=email&utm_source=mn-day&utm_campaign=20220427]] (2022/04/26)
 Jarvis 2.0は、ソースコードではなく、バイナリコードを用いてソフトウェア構成解析とセキュリティテストを行えるツールである。ブラックベリー社内での開発に用いられていたツールを外販したもので、組み込みシステム向けに特化していることが特徴となっている。
- [[Linux Foundationが調査レポート「SBOMとサイバーセキュリティへの対応状況」を公開：サイバーセキュリティ戦略の要となるか - ＠IT>https://atmarkit.itmedia.co.jp/ait/articles/2205/16/news035.html]] (2022/05/16)
 企業におけるSBOMの準備・採用の度合いと、オープンソースエコシステム全体のサイバーセキュリティの改善に向けたSBOMの重要性について述べているという。
- [[マイクロソフト、ビルド時にソフトウェアの部品表（SBOM）を自動生成する「SBOM Tool」、オープンソースで公開 － Publickey>https://www.publickey1.jp/blog/22/sbomsbom_tool.html]] (2022/07/22)
 マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。
-- https://github.com/microsoft/sbom-tool
-- コメント：下記の[[Java]]（[[macOS]]）にて正常に出力されることを確認した。(2022/09/10)
--- https://github.com/jabedhasan21/java-hello-world-with-maven
- [[Githubのサプライチェーン攻撃に対する取り組み｜unknown protocol｜note>https://note.com/usop/n/n0633319d9e6e]] (2022/07/23)
 サプライチェーン攻撃に関してはMicrosoft以外も取り組んでいて、そのうちのひとつであるGithubのブログを読んでみる。
-- 関連：[[サプライチェーン攻撃]]
- [[米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは：OSSのサプライチェーン管理、取るべきアクションとは（3） - ＠IT>https://atmarkit.itmedia.co.jp/ait/articles/2207/26/news013.html]] (2022/07/26)
 ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。
- [[「単なる文書」で終わらせない SBOM 作成のための処方箋 - 日本シノプシス合同会社>https://jiit.or.jp/wp/wp-content/uploads/2022/08/2ndDD.SEC8_.document5.pdf]] (2022/7)
 SBOM を正しく理解していただけるよう、本書ではシノプシスの顧客の間に見られる懸念や混乱についての情報を整理し、その内容をふまえて いくつかの重要な提言をまとめました。SBOM に対する今後の取り組みの軌道修正にご活用ください。
- [[Google Developers Japan: SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける>https://developers-jp.googleblog.com/2022/08/sbom-in-action.html]] (2022/08/09)
 この記事は Google オープンソース セキュリティ チーム、Brandon Lum、Oliver Chang による Google Security Blog の記事 "SBOM in Action: finding vulnerabilities with a Software Bill of Materials" を元に翻訳・加筆したものです。
- [[SBOMの脆弱性管理がもたらす品質とスピード向上でDevSecOpsを進めよう【デブサミ2022夏】 (1/2)：CodeZine（コードジン）>https://codezine.jp/article/detail/16306?utm_source=l]] (2022/09/16)
 テーマはSBOM。最近ではカンファレンスのキーワードで扱われる機会が増えてきている。
- [[オープンソース管理のトレンド、ソフトウェア部品表（SBOM）の国際標準化動向>https://www.brighttalk.com/webcast/18289/553680?utm_medium=]] (2022/09/21)
 本セミナーは、2021年5月に開催された回の再放送となります。
-- 関連：[[CISQ]], [[SPDX]], [[CPE]], [[NTIA]], [[C-SCRM]], [[SP800-161]], [[ISO27001]], [[MITRE]]
- [[Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには：特集：1P情シスのための脆弱性管理／対策の現実解（3） - ＠IT>https://atmarkit.itmedia.co.jp/ait/articles/2209/22/news013.html]] (2022/09/22)
 本稿では、＠ITが開催した「＠IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 ～自社ソフトウェアのリスク、把握していますか？～」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。
-- [[＠IT ソフトウェア品質向上セミナー 貴社はソフトウェアの全容を把握していますか？ 知らなかったでは済まされない、ソフトウェア品質に内在する本当のリスク>https://enq.itmedia.co.jp/on24u/form/soft2208?partnerref=itm_atit_kr]]
- [[SBOMを語る3日間！ OSSマネジメントフォーラム2022に関する記事一覧 - ログミー>https://logmi.jp/events/3630]] （2022年11月15日〜2022年11月17日）
-- [[(1) 経産省におけるOSS及びSBOMに係る取組等について - YouTube>https://www.youtube.com/watch?v=AL8uf5uos_M]]
-- [[SBOMに関する質問と回答まとめ（OSSマネジメントフォーラム2022 Day3） | ソフトウェア部品管理ソリューション | 日立ソリューションズ>https://www.hitachi-solutions.co.jp/sbom/blog/2023033107/]]
- [[SBOMで始める脆弱性管理の実際 - NTT Communications Engineers' Blog>https://engineers.ntt.com/entry/2022/12/01/090041]] (2022/12/1)
 今回の記事では、SBOMを利用した脆弱性管理の取り組みについてご紹介します。

** [[2021]]年 [#k30d427b]
- [[トヨタが推すサイバー対策の新常識「SBOM」、流出するリスクは？ | 日経クロステック（xTECH）>https://xtech.nikkei.com/atcl/nxt/column/18/00001/06002/]] (2021/09/10)
 ここへ来て、2020年12月にSBOMの仕様が国際標準「ISO／IEC 5230」として固まり、普及への期待が高まっている。
-- [[OpenChain]]
- [[自動車サイバー対策、“SBOM”が標準慣行に　ブラックベリー | 日経クロステック（xTECH）>https://xtech.nikkei.com/atcl/nxt/column/18/00001/05907/]] (2021/08/11)
 Black Duckとの違いについて、「組み込みシステムに最適化している点がJarvis 2.0の大きな特徴だ」（同氏）と説明した
- [[ソフトウェア品質とセキュリティ品質の温故知新――先人たちの築いた指標に学ぶ脆弱性対策【デブサミ2021】 (1/2)：CodeZine（コードジン）>https://codezine.jp/article/detail/13687]] (2021/03/15)
 Build Security In
 BSIはセキュリティに関する知識を形式知化することを目的としている。
 SBOM （Software bill of materials：ソフトウェア部品表）
 SBOMはコードベースに存在するすべてのオープンソースおよびサードパーティ・コンポーネントの一覧のことだ。
- [[米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。: まるちゃんの情報セキュリティ気まぐれ日記>http://maruyama-mitsuhiko.cocolog-nifty.com/security/2021/06/post-54396d.html]] (2021/06/02)
 興味深い内容です。。。政府は重要なソフトウェアを取得する場合は、サプライヤから SBOM を要求すべきという方向に行きますかね。。。

** [[2020]]年 [#q15aed19]
- [[ソフトウェアBOM（ソフトウェア部品表）とは何か？ - ソフトウェア・インテグリティ>https://www.synopsys.com/blogs/software-security/ja-jp/software-bill-of-materials-bom/]] (2020/08/20)
 ソフトウェア部品表（ソフトウェアBOM）を使用すると、オープンソースの使用に伴うセキュリティ、ライセンス、および運用上のリスクにすばやく対応できます。

* 関連 [#h37cb806]
#related

#taglist(tag=ソフトウェア^品質)

- [[PSIRT]]
- [[SPDX]]
- [[OpenChain]]
- [[UN-R155]]