2023年3月28日
開発者の皆さんとコンプライアンスチームの方々を対象に、クラウドリポジトリ向けの新しいSBOM生成ツールの提供を開始します。
サイバーセキュリティの強化に関する大統領令第14028号という先例に倣い、セキュリティやコンプライアンスチームからのソフトウェア部品表(SBOM)の要求が増加しています。ソフトウェアプロジェクトのオープンソースコンポーネントを特定し、新たな脅威に対するその脆弱性を評価したり、ライセンスポリシーとの整合性を確認することが目的です。そのためSBOMを簡単に生成し、共有することが求められています。
GitHubは、新たに導入するExport SBOM機能において、GitHubのクラウドリポジトリに対する読み取りアクセス権のあるユーザーなら誰でも、クリック1回でNTIA準拠のSBOMを生成できることを発表しました。作成されたJSONファイルは、バージョンやライセンスなどプロジェクトの依存関係とメタデータを業界標準のSPDX形式で保存するため、セキュリティおよびコンプライアンスのワークフローやツールで利用したり、Microsoft Excelでレビューすることができます(JSONからCSVへのコンバーターを使うとGoogle Sheetsとの互換性も確保できます)。
このセルフサービスの新機能を利用すれば、オンデマンドで簡単にSBOMを生成できるほか、開発者が開発ワークフローの通常のステップにSBOM生成を組み込むことも可能です。まず最初に、すでにプロジェクトのSBOMがある場合は、依存関係グラフにアップロードすることで既知の脆弱性があるすべての依存関係に関してDependabotアラートを受信できます。次に、GitHubのSBOM gh CLI拡張機能を使って、リポジトリの依存グラフからSBOMをプログラムで生成できるほか、GitHub Actionを使って、SBOMをビルド時に生成できます。また、依存関係グラフからSBOMを生成するREST APIも近日中に提供する予定です。
セルフサービスのSBOMは、GitHubのサプライチェーンセキュリティソリューションの一環として、GitHubのすべてのクラウドリポジトリで無料で利用できます。
変更点
SBOMを生成するには、リポジトリの依存グラフにある新しい[Export SBOM]ボタンをクリックするだけです。
これにより、機械可読なJSONファイルがSPDX形式で作成されます。
SBOMの詳細について
