米GitHubは、GitHubクラウドリポジトリへの読み取り権限を持つすべてのユーザーが、ワンクリックでNTIA(National Telecommunications and Information Administration:アメリカ商務省電気通信情報局)準拠のSBOM(Software Bill of Materials:ソフトウェア部品表)の生成を可能にする新たなセルフサービス機能を3月28日(現地時間)に発表した。
セルフサービスでのSBOM出力機能によって生成されたJSONファイルには、プロジェクトの依存関係と、バージョンやライセンスといったメタデータが業界標準であるSPDX形式で保存されており、セキュリティやコンプライアンスのワークフローやツールで使用したり、Microsoft Excel形式に変換したりできる。
同機能によって、SBOMをオンデマンドで簡単に生成することが可能になるほか、SBOMを依存関係グラフへアップロードして、既知の脆弱性が持つ依存関係に関するDependabotアラートを受け取れるようになる。
さらに、GitHubのSBOM gh CLI拡張機能を使用して、リポジトリの依存関係グラフからプログラムでSBOMを生成する、またはビルド時にサードパーティのGitHub Actionを使ってSBOMを生成する、といった使い方にも対応する。
なお、依存関係グラフからSBOMを生成するためのREST APIは、近日中の公開を予定している。また、同機能はGitHubにおけるサプライチェーンセキュリティソリューションの一部として、GitHubのすべてのリポジトリにて無料で利用できる。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
