CISA が定義した6種類のSBOM から最適なものを見極める

ソフトウェア部品表（SBOM）は、ソフトウェア・アプリケーションを構成するコンポーネントの詳細なインベントリです。SBOM は、依存関係やライセンス・コンプライアンス、セキュリティ、および品質リスクに関する洞察を提供します。また、ソフトウェア・サプライチェーンを詳細に可視化するために、SBOM はソフトウェアの安全性を確保するための一般的かつ重要な手法となっています。

米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は、ソフトウェア開発ライフサイクルに沿った6つのSBOMタイプを定義することで、企業がソフトウェア構成の状態を理解するのを支援している。

このガイドは、CISAが定義する6つのSBOMそれぞれに必要なコンポーネントについて学び、どのタイプが自分に適しているかを判断するのに役立ちます。

このガイドでは下記のことが学べます

• 6つのSBOMタイプそれぞれの利点と限界
• ソフトウェア・サプライチェーンにおける可視性とセキュリティを確保するためのSBOMプロセスの確立方法
• SBOM管理にSCAツールが不可欠な理由