• トップ
  • リリース
  • GitHub、クラウドリポジトリ向けの新しいSBOM生成ツールの提供を開始

プレスリリース

  • 記事画像1
  • 記事画像2
  • 記事画像3
  • 記事画像4

ギットハブ・ジャパン合同会社

GitHub、クラウドリポジトリ向けの新しいSBOM生成ツールの提供を開始

(Digital PR Platform) 2023年04月07日(金)16時31分配信 Digital PR Platform





オープンソースプロジェクトおよびビジネスユースを含む、ソフトウェアの開発プラットフォームを提供するGitHub, Inc.(本社:米国サンフランシスコ)は、2023年3月28日(米国時間)に開発者とコンプライアンスチームの方々を対象に、クラウドリポジトリ向けの新しいSBOM生成ツールの提供を開始しました。






[画像1]https://user.pr-automation.jp/simg/1306/70134/700_367_20230407125754642f94c265739.png


サイバーセキュリティの強化に関する大統領令第14028号(https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
)という先例に倣い、セキュリティやコンプライアンスチームからのソフトウェア部品表(SBOM)の要求が増加しています。この目的は、ソフトウェアプロジェクトのオープンソースコンポーネントを特定し、新たな脅威に対するその脆弱性を評価したり、ライセンスポリシーとの整合性を確認することであり、そのためSBOMを簡単に生成し、共有することが求められています。

GitHubは、新たに導入するExport SBOM機能において、GitHubのクラウドリポジトリに対する読み取りアクセス権のあるユーザーなら誰でも、クリック1回でNTIA(https://ntia.gov/page/software-bill-materials
)準拠のSBOMを生成できることを発表しました。作成されたJSONファイルは、バージョンやライセンスなどプロジェクトの依存関係とメタデータを業界標準のSPDX形式で保存するため、セキュリティおよびコンプライアンスのワークフローやツールで利用したり、Microsoft Excelでレビューすることが可能です(JSONからCSVへのコンバーターを使うとGoogle Sheetsとの互換性も確保できます)。

本セルフサービスの新機能を利用することで、オンデマンドで簡単にSBOMを生成できるほか、開発者が開発ワークフローの通常のステップにSBOM生成を組み込むことも可能です。すでにプロジェクトのSBOMがある場合は、依存関係グラフにアップロード(https://docs.github.com/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api
)することで既知の脆弱性があるすべての依存関係に関してDependabotアラートを受信できます。また、GitHubのSBOM gh CLI拡張機能(https://github.com/advanced-security/gh-sbom
)を使用して、リポジトリの依存グラフからSBOMをプログラムで生成できるほか、GitHub Action(https://docs.github.com/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api#generating-and-submitting-a-software-bill-of-materials-sbom
)により、ビルド時にSBOMを生成することもできます。今後、依存関係グラフからSBOMを生成するREST APIも近日中に提供予定です。

セルフサービスのSBOMは、GitHubのサプライチェーンセキュリティソリューションの一環として、GitHubのすべてのクラウドリポジトリで無料で利用できます。

変更点

SBOMを生成するには、リポジトリの依存グラフにある新しい[Export SBOM]ボタンをクリックしてください。



[画像2]https://user.pr-automation.jp/simg/1306/70134/700_454_20230407125757642f94c5cf9af.png


これにより、機械可読なJSONファイルがSPDX形式で作成されます。



[画像3]https://user.pr-automation.jp/simg/1306/70134/700_504_20230407125800642f94c8cde0b.png

SBOMの詳細について


SBOMドキュメント(https://docs.github.com/code-security/supply-chain-security/understanding-your-software-supply-chain/exporting-a-software-bill-of-materials-for-your-repository

Dependency Submission API(https://docs.github.com/code-security/supply-chain-security/understanding-your-software-supply-chain/using-the-dependency-submission-api

GitHub SBOMコマンドラインインターフェイス(CLI)拡張機能(https://github.com/advanced-security/gh-sbom

Microsoft SBOMツール(https://github.com/microsoft/sbom-tool




GitHub Blog
英語:https://github.blog/2023-03-28-introducing-self-service-sboms/

日本語:https://github.blog/jp/2023-04-06-introducing-self-service-sboms/

GitHubに関する情報は、こちらからもご覧いただけます。
Blog:  (英語) https://github.blog
   (日本語) https://github.blog/jp
Twitter: (英語) @github( https://twitter.com/github
)   
    (日本語) @GitHubJapan( https://twitter.com/githubjapan
)

【GitHub について】https://github.co.jp
GitHubは、すべての開発者のためのグローバルホームとして、安全なソフトウェアを構築、拡張、提供するための統合された開発者プラットフォームです。フォーチュン100社に採択された企業のうち90社に所属する開発者を含む1億人以上がGitHubを利用し、3億3千万以上のリポジトリで素晴らしいものを共に創造しています。GitHubのすべてのコラボレーション機能によって、個人やチームがより迅速に、より高品質なコードを書くことがかつてないほど容易になっています。




このページの先頭へ戻る