コードスニペットレベルで検出！OSS脆弱性・SBOM管理

SBOM(Software Bill of Materials：ソフトウェア部品表)作成に、FossIDが有効です！

自動車、医療機器などのソフトウェアにおいてSBOMの必要性が増している

OSSの適切な利用には、ライセンスの遵守、脆弱性への迅速な対応が重要です。利用しているOSSが分からなければ、ライセンスを守ることも脆弱性に対応することもできないため、対象のソフトウェアにおいて利用されているOSSを把握する必要があります。

SBOMとは、ソフトウェアの部品表です。SBOMを用いて利用しているOSSの把握、管理をすることでライセンスの遵守、脆弱性への迅速な対応を行うことができるようになります。SPDX、CycloneDXなどいくつかのフォーマットが存在し、これら共通フォーマットの利用により、継続的な管理、サプライチェーン全体を含めた把握、管理が実現できます。ソフトウェアサプライチェーンのリスク管理において重要であるとされ、近年注目を集めています。

レガシーコード、他社に開発委託したコードなどOSSは意図せず混入することがあります。また、検索して流用したコードがOSSの一部であった場合など、OSSの部分利用により、 対象のソフトウェアで利用されているOSSの特定を手作業で行うことは非常に困難と言えます。ソースコード内に含まれるOSSを特定し、SBOM作成を支援することができるツールの利用が有効と言えます。

FossIDのレポート機能では、9種類のレポーティングが可能です。SBOMの共通フォーマットとして注目されている、SPDX/SPDX-LiteやCycloneDXを出力できます。

FossIDの体験版をお試しください！

OSSライセンス＆セキュリティ管理ツール「FossID」の製品・サービスの詳細については、 「FossID 特設サイト」に掲載しています。 FossIDの製品デモ・詳細の説明希望の方はお問い合わせください。