SBOMレポーティングサービス-バイナリファイル

近年、ソフトウェア開発はより複雑化・高度化が進んでおり、それに伴いオープンソースソフトウェア(OSS)の利用も大幅に増加しています。加えて、企業間のソフトウェアの流通量も多くなり、利用しているOSSのライセンスや脆弱性情報を適切に管理するとともに、他社と円滑に情報共有できる体制の整備が急務となっています。
こうした課題に対応するため、利用しているOSSコンポーネントのライセンスや脆弱性情報の検出、ならびにSBOM(Software Bill of Materials:ソフトウェア部品表)の作成を行うサービスを実施しています。
本サービスは、お客様からお預かりしたバイナリファイルをSCAツール「Insignary Clarity」で解析し、その結果を取りまとめたレポートとSBOMデータを合わせて提供します。
<こんなお悩みの方におすすめ>
- SBOM納品を求められており、提供できるSBOMを早々に用意したい
- 自社開発製品がOSSライセンスに違反していないか確認したい
- 自社開発製品にOSSの脆弱性が存在していないか確認したい
- SCAツールの導入予定がない/まだ時間がかかる
サービスの詳細については、弊社担当営業もしくは、お問い合わせフォームにお問い合わせください。
SBOMレポーティングサービス(バイナリファイル)の概要
サービスの特長
- バイナリスキャン対応のSCAツール「Insignary Clarity」を使用
- 特許取得済みのディープフィンガープリンティング技術【1】を用いて、 バイナリを対象にOSSの混入チェックを行うことができるため、 ソースコードが入手できない対象についても、OSSの脆弱性および ライセンスの特定が可能となります。
- スニペットにも対応しているため、開発者のコピー&ペーストや 生成AIが作成したコードなど、意図せず混入したOSSもチェックできます。
- OSSの特定に使われたフィンガープリント(識別子)も確認できるため、どのファイルの何行目にどの識別子が存在しているかまで把握できます。
- 主要なSBOMフォーマットに対応
- SPDX、CycloneDX形式のSBOM提供が可能です。
【注釈1】
関数名、変数名、文字列リテラル、その他バイナリに残るソースコードの断片をフィンガープリントとして、OSSを特定します。ただし、バイナリに含まれる情報量が少ない場合は、(OSSが含まれているケースにおいても)何も検出されない可能性もある点を、予めご承知おきください。

作業フロー
- NDAの締結:お客様のバイナリファイルをお預かりするにあたり事前にNDAを締結します。
- ソフトウェアの提供:解析対象となるソフトウェアをご提供いただきます。
- Clarityによるスキャン: Clarityを使用してご提供いただいたソフトウェアをスキャンします。
- 報告書作成: Clarityのスキャン結果から解析結果の報告書作成を行います。
- SBOM作成: Clarityのスキャン結果からSBOMレポートの作成を行います。
納品について
- 納期
- バイナリファイルの受領からSBOMレポートの納品まで:通常約2週間から1ヶ月程度※納品までの日数はバイナリファイルの容量によって変わります。
- 納品物
- 下記納品物一式を電子データにてご提供します。
- スキャン結果報告書:
- OSS Verification Report
- OSS Verification detail Report
- Fingerprint Identifier Information
- SBOMレポート:
- SPDX形式
- CycloneDX形式
- スキャン結果報告書:
- 下記納品物一式を電子データにてご提供します。
PICK UP
イベント・セミナー
バイナリ解析OSS管理ツール Insignary Clarityに
関するお問い合わせ
テクマトリックス株式会社
東京本社ソフトウェアエンジニアリング事業部
03-4405-7853
- メールでのお問い合わせ
- clarity-info@techmatrix.co.jp



