OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)
こんにちは、丸山満彦です。
OWSAPが、SBOMガイダンスCycloneDX v1.5を公表していますね。。。SBOMというよりも、SBOMも含めて拡大したものになっていますね。。。
米国大統領令14028に対応して国家電気通信情報局(NTIA)が定義したソフトウェア部品表の最小要素を含み、より多くの要素が組み込めるようになっているようです。。。SBOMの普及にはずみがつきますかね。。。
・2023.06.23 How CycloneDX v1.5 Increases Trust and Transparency in More Industries
How CycloneDX v1.5 Increases Trust and Transparency in More Industries | CycloneDX v1.5がより多くの業界で信頼性と透明性を高める方法 |
OWASP is often the first to reveal new, innovative ways to leverage SBOM. The release of CycloneDX version 1.5 is no different, opening up SBOM adoption to new industries and introducing numerous ways to customize CycloneDX SBOMs to indicate quality, show transparency, and expedite vulnerability remediation while increasing trust in the supply chain. | OWASPはしばしば、SBOMを活用する新しい革新的な方法を最初に明らかにする。CycloneDXバージョン1.5のリリースも同様で、SBOMの採用を新たな業界に広げ、CycloneDX SBOMをカスタマイズして品質を表示し、透明性を示し、脆弱性の修復を迅速化すると同時に、サプライチェーンの信頼を高める数多くの方法を紹介している。 |
CycloneDX v1.5 further expands visibility and security benefits to new industries through generation of xBOMs: the concept of a CycloneDX BOM is not just restricted to software, but capable of conferring the same benefits to hardware, operations, manufacturing, and many more applications. | CycloneDX v1.5は、xBOMの生成を通じて、可視性とセキュリティの利点を新しい業界にさらに拡大する。CycloneDX BOMのコンセプトは、ソフトウェアに限定されるものではなく、ハードウェア、運用、製造、その他多くのアプリケーションに同じ利点を与えることができる。 |
For example, SaaSBOM, or a Software as a Service BOM, provides an inventory of services, endpoints, and data flows/classifications that power cloud-native applications. Hardware Bill of Materials, or HBOM, supports documentation of components, devices, firmware, configurations, and many other fields that make it ideal for producers of consumer electronics, IoT devices, and embedded devices. CycloneDX xBOMs can also be combined to represent a product ecosystem. For a full-stack product offering, a company can generate an HBOM for devices in the field and a SaaSBOM for the software components of each service. | たとえば、SaaSBOM(Software as a Service BOM)は、クラウドネイティブなアプリケーションを支えるサービス、エンドポイント、データフロー/分類のインベントリを提供する。HBOM(Hardware Bill of Materials)は、コンポーネント、デバイス、ファームウェア、コンフィギュレーション、その他多くの分野の文書化をサポートし、家電、IoTデバイス、組み込みデバイスの製造者にとって理想的である。CycloneDX xBOMは、製品のエコシステムを表現するために組み合わせることもできる。フルスタックの製品を提供する場合、企業は現場のデバイスのHBOMと各サービスのソフトウェアコンポーネントのSaaSBOMを生成できる。 |
With version 1.5, CycloneDX introduces new xBOM types that support both new areas in the product ecosystem for existing users, and also makes CycloneDX usage feasible for new industries altogether. | バージョン1.5で、CycloneDXは新しいxBOMタイプを導入し、既存ユーザーの製品エコシステムにおける新領域をサポートするとともに、CycloneDXの利用を新たな業界で実現可能にした。 |
CycloneDX Increases Transparency and Trust in Machine Learning, Manufacturing, and Low Code Application Platforms | CycloneDXは機械学習、製造、ローコードアプリケーションプラットフォームの透明性と信頼性を高める |
CycloneDX v1.5 is the first and only format to support three new xBOM types: Machine Learning Bill of Materials (ML-BOM), Manufacturing Bill of Materials (MBOM), and SBOM for Low Code Application Platforms. In the near future, vendor AquaSecurity will also introduce support for Kubernetes Bill of Materials (KBOM), a new type of xBOM based on the CycloneDX v1.5 format. | CycloneDX v1.5は、3つの新しいxBOMタイプをサポートする最初で唯一のフォーマットである: 機械学習部品表(ML-BOM)、製造部品表(MBOM)、ローコードアプリケーションプラットフォーム用SBOMである。近い将来、ベンダーのAquaSecurityは、CycloneDX v1.5フォーマットに基づく新しいタイプのxBOMであるKubernetes Bill of Materials(KBOM)のサポートも導入する予定だ。 |
In each of these industries, trust in the product is critical. Whether purchasing a new smart appliance or subscribing to a website builder, a buyer wants to feel assured that their data will stay secure, be informed of how their data is being used, and know that the product they receive is providing reliable, high-quality information. A CycloneDX SBOM provides not only the dependencies, components, and processes that transform a product or data set – but also the presence, impact, and risks associated with that product. | これらの各業界において、製品への信頼は非常に重要である。新しいスマート家電を購入するにしても、ウェブサイトビルダーを購読するにしても、購入者は自分のデータが安全に保たれ、データがどのように使用されているかを知らされ、受け取った製品が信頼できる高品質の情報を提供していることを知りたいと考えている。CycloneDX SBOMは、製品やデータセットを変換する依存関係、コンポーネント、プロセスだけでなく、その製品に関連する存在、影響、リスクも提供する。 |
Machine Learning Bill of Materials (ML-BOM) | 機械学習部品表(ML-BOM) |
Machine Learning Bill of Materials (ML-BOM) includes documentation of an algorithm’s model and dataset, enabling its creator to provide contributors with assurance of security and privacy, and consumers with transparency on safety and ethical considerations. Even if the SBOM is not publicly distributed, it can serve as a “snapshot” that an organization or creator can refer back to when reassuring contributors that their data is being stored securely and privately, or making consumers aware of the model’s methods and constraints for learning. | 機械学習部品表(Machine Learning Bill of Materials:ML-BOM)には、アルゴリズムのモデルとデータセットの文書化が含まれ、プロバイダは貢献者にセキュリティとプライバシーの保証を、消費者には安全性と倫理的配慮に関する透明性を提供することができる。SBOMが一般に配布されない場合でも、組織または作成者が、データが安全かつ非公開で保存されていることを貢献者に安心させるとき、またはモデルの学習方法と制約を消費者に認識させるときに参照できる「スナップショット」として機能することができる。 |
Manufacturing Bill of Materials (MBOM) | 製造部品表(MBOM) |
Manufacturing Bill of Materials (MBOM) describes how a product is made, improving upon the concept of a traditional Bill of Materials (BOM). While both document the materials and sources needed to manufacture a product, and both can be used to manually document and identify risks in a supply chain, CycloneDX also documents how a product combines hardware, firmware, software, processes, and testing to create the final product distributed to the customer. This serves as a record of provenance, or the history of the origins and ownership of a product and how it was built. This can reveal potential security compromises or weaknesses in the toolchain, or the product’s ecosystem and the code, components, and processes that enable this. | 製造部品表(MBOM)は、従来の部品表(BOM)の概念を改善し、製品がどのように製造されるかを記述する。どちらも製品の製造に必要な材料とソースを文書化するものであり、サプライチェーンにおけるリスクを手作業で文書化し識別するために使用できるが、CycloneDXは、製品がハードウェア、ファームウェア、ソフトウェア、プロセス、テストをどのように組み合わせて顧客に配布される最終製品を作成するかも文書化する。CycloneDXは、製品の出所や所有権、どのように製造されたかの履歴を記録する。これによって、ツールチェーン、製品のエコシステム、これを可能にするコード、コンポーネント、プロセスにおける潜在的なセキュリティ侵害や弱点を明らかにすることができる。 |
CycloneDX has doubled the number of external references supported in all SBOMs and significantly increased the types of components supported in version 1.5, allowing for a greater degree of documentation and linking than ever before. This expands CycloneDX’s capability to identify vulnerabilities by adding fields that describe risk assessments, threat models, and the outputs from security tools. | CycloneDXは、バージョン1.5で、すべてのSBOMでサポートされる外部参照の数を2倍に増やし、サポートされるコンポーネントの種類を大幅に増やし、これまで以上に高度な文書化とリンクを可能にした。これにより、リスクアセスメント、脅威モデル、セキュリティツールからの出力を記述するフィールドが追加され、脆弱性を特定するCycloneDXの機能が拡張された。 |
Low Code Application Platforms | ローコードアプリケーション・プラットフォーム |
CycloneDX is introducing the ability to generate SBOMs for Low Code Application Platforms, which are development environments used to create application software through a graphical user interface instead of traditional hand-coded computer programming. Such platforms reduce the amount of traditional hand-coding, enabling accelerated delivery of business applications. Individuals or businesses often outsource key parts of their daily operations, such as e-commerce, scheduling, or contact forms, to these platforms in exchange for a subscription. | CycloneDXは、ローコード・アプリケーション・プラットフォーム用のSBOMを生成する機能を導入する。ローコード・アプリケーション・プラットフォームは、従来の手作業によるコンピュータ・プログラミングの代わりに、グラフィカル・ユーザー・インターフェイスを通じてアプリケーション・ソフトウェアを作成するために使用される開発環境である。このようなプラットフォームは、従来の手作業によるコーディングの量を減らし、ビジネス・アプリケーションの迅速な提供を可能にする。個人や企業は、電子商取引、スケジューリング、問い合わせフォームなど、日常業務の重要な部分を、サブスクリプションと引き換えに、これらのプラットフォームにアウトソーシングすることが多い。 |
Generating a CycloneDX SBOM allows developers writing Low Code Applications to assure their users that their data is secure. In addition, Low Code Platform vendors can now enable SBOM generation from their respective platforms, enabling users who create applications or processes on a Low Code Platform to dynamically receive SBOMs of their own application. | CycloneDX SBOMを生成することで、ローコード・アプリケーションを作成する開発者は、データの安全性をユーザーに保証できる。さらに、Low Code Platformベンダーは、それぞれのプラットフォームからSBOMを生成できるようになり、Low Code Platform上でアプリケーションやプロセスを作成するユーザーが、自身のアプリケーションのSBOMを動的に受信できるようになった。 |
Kubernetes Bill of Materials (KBOM) | Kubernetes部品表(KBOM) |
Following the release of CycloneDX v1.5, users of Aqua Trivy tool will be able to generate a new type of xBOM: Kubernetes Bill of Materials (KBOM). | CycloneDX v1.5のリリース後、Aqua Trivyツールのユーザーは新しいタイプのxBOMであるKubernetes Bill of Materials (KBOM)を生成できるようになる。 |
KBOM documents the composition of a Kubernetes cluster, creating a manifest of the components, versions, and images within. This affords transparency to software teams who have used a third-party tool or provider to set up and configure their Kubernetes cluster, providing a comprehensive inventory of a cluster’s control plane components, node components, and add-ons. With this information in hand, security and engineering teams can conduct a vulnerability assessment of the components within a Kubernetes cluster, revealing potential threats to the underlying infrastructure of an organization’s software stack. | KBOMはKubernetesクラスタの構成を文書化し、コンポーネント、バージョン、イメージのマニフェストを作成する。これにより、Kubernetesクラスタのセットアップと構成にサードパーティのツールやプロバイダを使用したソフトウェアチームには透明性がもたらされ、クラスタのコントロールプレーンコンポーネント、ノードコンポーネント、アドオンの包括的なインベントリが提供される。この情報があれば、セキュリティチームとエンジニアリングチームは、Kubernetesクラスタ内のコンポーネントの脆弱性評価を実施し、組織のソフトウェアスタックの基盤となるインフラに対する潜在的な脅威を明らかにすることができる。 |
Ideally the tools that install and configure Kubernetes for you would record their actions as KBOM, but in the meantime you can generate KBOM for existing clusters with Trivy by leveraging the Kubernetes API to discover cluster components. | 理想的には、Kubernetesのインストールと設定を行うツールが、そのアクションをKBOMとして記録してくれることが望ましいが、それまでは、Kubernetes APIを活用してクラスタコンポーネントを検出することで、Trivyを使って既存のクラスタのKBOMを生成することができる。 |
CycloneDX Creates a Foundation of Trust with Enhanced SDLC and SAM Support | CycloneDXは強化されたSDLCとSAMサポートで信頼の基盤を作る |
CycloneDX v1.5 adds new fields related to Software Development Lifecycle (SLDC) and Software Asset Management (SAM), which provide further context to how the SBOM was generated, the accuracy of the data contained within an SBOM, and the nature of an organization’s dependencies on third-party software components. Data in these fields can be used to increase stakeholder confidence in the product security communicated by the SBOM. | CycloneDX v1.5では、ソフトウェア開発ライフサイクル(SLDC)とソフトウェア資産管理(SAM)に関連する新しいフィールドが追加され、SBOMの生成方法、SBOMに含まれるデータの正確性、サードパーティのソフトウェアコンポーネントに対する組織の依存関係の性質について、さらなるコンテキストを提供する。これらのフィールドのデータは、SBOMによって伝達される製品セキュリティに対する利害関係者の信頼性を高めるために使用できる。 |
CycloneDX v1.5 Provides the Most Advanced Licensing Support of Any SBOM Format | CycloneDX v1.5は、あらゆるSBOMフォーマットの中で最も高度なライセンスサポートを提供する。 |
In addition to the comprehensive open-source license support conferred by previous versions, CycloneDX v1.5 adds commercial license support, which enables users to document the license, licensee, licensor, license number, license type, purchase order, renewal date, and expiration date for any dependent component in their project. With a CycloneDX SBOM, users have one central place to see all the licenses they use, where licenses may be missing, and when to renew or replace licenses to keep their product distribution up and running. | CycloneDX v1.5では、以前のバージョンで提供されていた包括的なオープンソースライセンスサポートに加えて、商用ライセンスサポートが追加され、ユーザーはプロジェクト内の任意の依存コンポーネントについて、ライセンス、ライセンシー、ライセンサー、ライセンス番号、ライセンスタイプ、購入順序、更新日、および有効期限を文書化できるようになった。CycloneDX SBOMを使用することで、ユーザは、使用するすべてのライセンス、ライセンスが不足している可能性のある場所、およびライセンスの更新または交換のタイミングを確認できる一元的な場所を持ち、製品の配布を維持し続けることができる。 |
As a product’s lifecycle matures and third-party components transition from planned integrations into actual integrations, CycloneDX users can leverage new fields introduced by version 1.5 to support Software Asset Management (SAM). While the Software Development Lifecycle (SLDC) typically uses tools for open-source license compliance, SAM is more focused on commercial license support and procurement. Documentation of SAM lifecycles is frequently required for enterprise solution adoption among Fortune 500 companies. In addition, storing license data in a CycloneDX SBOM normalizes data for licensing, configurations, renewals, and deployments for software and hardware assets, providing a springboard for organizations to digitally transform their procurement and SAM processes. | 製品のライフサイクルが成熟し、サードパーティコンポーネントが計画された統合から実際の統合に移行するにつれて、CycloneDXユーザーは、バージョン1.5で導入された新しいフィールドを活用して、ソフトウェア資産管理(SAM)をサポートすることができる。ソフトウェア開発ライフサイクル(SLDC)は通常、オープンソースライセンスコンプライアンスのためのツールを使用するが、SAMは商用ライセンスのサポートと調達に重点を置いている。SAM ライフサイクルの文書化は、フォーチュン 500 企業がエンタープライズ ソリューションを採用する際に頻繁に要求される。さらに、CycloneDX SBOMにライセンスデータを格納することで、ソフトウェアとハードウェア資産のライセンシング、コンフィギュレーション、更新、およびデプロイメントのデータが正規化され、組織が調達とSAMのプロセスをデジタルに変換するための足がかりとなる。 |
To learn more about how commercial licensing support confers risk detection and time savings, visit the License Compliance section of the CycloneDX Authoritative Guide to SBOM. | 商用ライセンシングのサポートがどのようにリスクの検知と時間の節約をもたらすかについては、CycloneDX の SBOM に関する権威あるガイドのライセンスコンプライアンスのセクションを参照されたい。 |
OWASP Introduces Comprehensive SBOM Quality Indicators in CycloneDX | OWASP、CycloneDXに包括的なSBOM品質指標を導入 |
CycloneDX v1.5 lifecycle and evidence fields not only indicate the quality of a product, but also trustworthiness of the product’s SBOM itself. OWASP recommends five dimensions of SBOM quality: | CycloneDX v1.5のライフサイクルおよびエビデンス・フィールドは、製品の品質だけでなく、製品のSBOM自体の信頼性も示す。OWASPはSBOMの品質について5つの次元を推奨している: |
・Breadth - the coverage in the types of data represented in a BOM | ・広さ - BOMに表現されるデータの種類の網羅性 |
・Depth - the amount of detail or difficulty needed to represent data within a BOM | ・深さ - BOM内のデータを表現するために必要な詳細度または難易度 |
・Lifecycles - the number of lifecycles or the favorability of specific lifecycles in the creation of a BOM | ・ライフサイクル - BOMの作成におけるライフサイクルの数または特定のライフサイクルの好ましさ |
・Techniques - the approaches used to determine component identity | ・テクニック - コンポーネントの同一性を判断するために使用されるアプローチ |
・Confidence - the confidence of individual techniques, and the analysis of the sum of all techniques used to identify components | ・信頼 - 個々の手法の信頼度、およびコンポーネントの識別に使用されるすべての手法の合計の分析。 |
To date, CycloneDX is the only SBOM format that includes data supporting all five dimensions. | 現在までのところ、CycloneDX は 5 つの次元すべてをサポートするデータを含む唯一の SBOM フォーマットである。 |
SDLC and SAM Support - Communicating Product Quality and Breaking Down Barriers to Product Adoption | SDLCとSAMのサポート - 製品品質のコミュニケーションと製品採用の障壁を取り除く |
Version 1.5 introduces support for SDLC fields, which communicate the quality of the SBOM by identifying the stage of the product lifecycle in which it was generated. SBOMs created early on in the lifecycle can provide more insight into the planning, decision-making, and quality improvements of the product as it matures. | バージョン1.5では、SDLCフィールドのサポートが導入された。SDLCフィールドは、SBOMが生成された製品ライフサイクルの段階を識別することで、SBOMの品質をコミュニケーションする。ライフサイクルの初期に作成された SBOM は、製品が成熟するにつれて、製品の計画、意思決定、および品質改善に対するより多くの洞察を提供することができる。 |
SBOMs created early on in a product’s lifecycle capture the planning process for components and services that may be used. As the product progresses through the phases of its lifecycle, the SBOM is further populated with source materials, development artifacts, dependencies and components, component source data, build processes, operational status, configurations, potential security issues, and/or lack of security issues. | 製品のライフサイクルの初期に作成されたSBOMは、使用される可能性のあるコンポーネントおよびサービスの計画プロセスを把握する。製品がライフサイクルの段階を経るにつれて、SBOMにはさらに、ソース資料、開発成果物、依存関係とコンポーネント、コンポーネントソースデータ、構築プロセス、運用状況、構成、潜在的なセキュリティ問題、および/またはセキュリティ問題の欠如が入力される。 |
These add to CycloneDX’s existing benefits to SDLC planning by: | これらは、CycloneDX の SDLC 計画に対する既存の利点に次のようなものを加える: |
・Creating a snapshot of dependencies, vulnerabilities, changes, and licenses when SBOMs are generated at points throughout the product’s lifetime. | ・製品のライフタイムを通じて SBOM が生成されるときに、依存関係、脆弱性、変更、およびライセンスのスナップショットを作成する。 |
・Revealing additional needs for planning or changes during the early lifecycle, especially in regard to licensing and security issues. | ・初期のライフサイクルの間に、特にライセンスとセキュリティの問題に関して、計画や変更の追加的な必要性を明らかにする。 |
・Showing how development teams pivot on risk throughout the product’s lifecycle, removing unnecessary or vulnerable components while retaining those critical to its functionality. | ・開発チームが、製品のライフサイクルを通じて、どのようにリスクに軸足を置き、不必要なコンポーネントや脆弱性のあるコンポーネントを削除する一方で、その機能にとって重要なコンポーネントを保持するのかを示す。 |
・Assisting in the discovery stage of the lifecycle by helping teams discover projects already in operation and the software/hardware assets they utilize. | ・チームがすでに稼働しているプロジェクトや、それらが利用しているソフトウェア/ハードウェア資産を発見するのを支援することで、ライフサイクルの発見段階を支援する。 |
・Assisting in the decommission stage of the lifecycle by providing a list of all components that need to be taken offline with a product, reducing unexpected cost and risk for the organization. | ・製品と共にオフラインにする必要があるすべてのコンポーネントのリストをプロバイダに提供することで、ライフサイクルの廃止段階を支援し、組織にとって予期せぬコストとリスクを削減する。 |
To learn more about support for SDLC and user-defined lifecycles, visit the Lifecycle Phases section of the CycloneDX Authoritative Guide to SBOM. | SDLCとユーザ定義のライフサイクルのサポートについて詳しくは、CycloneDXのSBOMのオーソリティガイドのライフサイクルフェーズのセクションを参照。 |
CycloneDX Reduces Time to Action on Vulnerability Investigation and Software Composition Analysis | CycloneDXは脆弱性調査とソフトウェア構成分析のアクションまでの時間を短縮する |
There are three things that can soften the impact of unexpected work: advance preparation, early detection, and the ability to take immediate action. Fortunately, CycloneDX v1.5 introduces a diverse new array of fields to assist with this. | 予期せぬ作業による影響を和らげるには、事前準備、早期検知、即時対応という3つのポイントがある。幸いなことに、CycloneDX v1.5は、これを支援する多様な新分野を導入している。 |
Preparing for the Worst - Using CycloneDX to Document the Software Development Life Cycle | 最悪の事態に備える - CycloneDXを使用してソフトウェア開発ライフサイクルを文書化する |
Using a CycloneDX SBOM to document SDLC planning lays the groundwork for time savings during future Software Composition Analysis (SCA) and/or vulnerability fixes. This will save SCA professionals or members of a software development team countless hours in going back through artifacts to pinpoint the origin and history of a given vulnerability, affording everyone more time and energy to focus on problem-solving. | SDLC 計画を文書化するために CycloneDX SBOM を使用することは、将来のソフトウェア構成分析(SCA)および/または脆弱性修正時に時間を節約するための基礎を築く。これにより、SCA の専門家やソフトウェア開発チームのメンバーは、ある脆弱性の起源と履歴を特定するために成果物をさかのぼるのに数え切れないほどの時間を節約することができ、問題解決に集中するための時間とエネルギーを確保することができる。 |
SCA and Vulnerability Investigation - CycloneDX Surfaces Critical Information | SCAと脆弱性調査 - CycloneDXが重要情報を浮上させる |
CycloneDX v1.5 adds 3 capabilities which are critical time-savers to investigating the real-world risk and impact of vulnerabilities within a project: | CycloneDX v1.5では、プロジェクト内の脆弱性の実際のリスクと影響を調査するための重要な時間節約となる3つの機能が追加された: |
・Identity Evidence - proves the identity of a component and its source, improving confidence in the accuracy of the SBOM and the techniques used to determine component identity. | ・アイデンティティ証拠 - コンポーネントのアイデンティティとそのソースを証明し、SBOMの精度とコンポーネントのアイデンティティを決定するために使用される技術に対する信頼性を向上させる。 |
・Occurrences - shows where individual instances of a component are located in the source code for a project, and aggregates those instances into a single component. | ・発生 - プロジェクトのソースコードのどこにコンポーネントの個々のインスタンスがあるかを示し、それらのインスタンスを単一のコンポーネントに集約する。 |
・Call Stack - similar to a stack trace, this identifies if a vulnerable component was called by the application and shows where it was invoked in a nested function call, indicating the reachability of the vulnerable component and what data or functionality may have been impacted. (This field is particularly useful for IAST vendors.) | ・コールスタック - スタックトレースと同様に、脆弱性コンポーネントがアプリケーションから呼び出されたかどうかを識別し、ネストされた関数呼び出しのどこで呼び出されたかを示す。(このフィールドは、特に IAST ベンダーにとって有用である)。 |
Version 1.5 also adds support for proof of concept data on vulnerabilities, which enables software teams to document and demonstrate how a vulnerability could theoretically be exploited. This may include proof of the exploit happening, payloads to trigger the exploit, code for remediation, and additional details on remediation plans. CycloneDX documentation of vulnerability proof-of-concepts saves time on explanation, investigation, and execution when it is time for a vulnerability to be patched, and can serve as documentation of when and why the vulnerability will be patched. This is commonly used for responsible disclosure, which is a transparency and trust measure to make stakeholders aware of existing vulnerabilities when adopting a product. | バージョン1.5では、脆弱性に関する概念実証データのサポートも追加され、ソフトウェアチームは、脆弱性が理論的にどのように悪用されるかを文書化し、実証することができる。これには、エクスプロイトが発生することの証明、エクスプロイトをトリガーするペイロード、修復のためのコード、修復計画の追加詳細などが含まれる。CycloneDXが脆弱性の概念実証を文書化することで、脆弱性にパッチを適用する時期になったときに、説明、調査、実行にかかる時間を節約し、脆弱性にパッチを適用する時期や理由を文書化することができる。これは一般的に責任ある情報開示に使用され、製品を採用する際に利害関係者に既存の脆弱性を認識させるための透明性と信頼性の対策となる。 |
How to start using CycloneDX v1.5 | CycloneDX v1.5の使い始め方 |
・CycloneDX has a rich community of contributors and supporters ready to help you generate your first SBOM or learn how to utilize these new features. It is quick and easy to join, and all new participants are welcome. | CycloneDXには、あなたが最初のSBOMを作成したり、これらの新機能を利用する方法を学んだりするのを支援する準備が整った貢献者と支援者の豊かなコミュニティがある。 参加は迅速かつ簡単で、すべての新規参加者を歓迎する。 |
・The CycloneDX Authoritative Guide to SBOM is a comprehensive manual for those looking to adopt or optimize use of CycloneDX. | CycloneDXのSBOMへの権威あるガイドは、CycloneDXの採用または使用の最適化を検討している人のための包括的なマニュアルである。 |
・CycloneDX is compatible with over 200 tools supporting 20+ programming languages, including Java, Python, Go, and many others. Explore our tool center to find the right one for you. | CycloneDXは、Java、Python、Goなど20以上のプログラミング言語をサポートする200以上のツールと互換性がある。 CycloneDXは、Java、Python、Goなど20以上のプログラミング言語をサポートする200以上のツールと互換性がある。 |
・Read our CycloneDX v1.5 documentation for more details about newly-supported fields and functionality. | 新しくサポートされたフィールドや機能の詳細については、CycloneDX v1.5のドキュメントをお読みください。 |
・Authoritative Guide to SBOM Implement and Optimize use of Software Bill of Materials
・[PDF]
目次...
About the Guide% | ガイドについて |
Copyright and License |
著作権とライセンス |
PREFACE | はじめに |
INTRODUCTION | 序文 |
Design Philosophy and Guiding Principles | 設計理念と指針 |
Defining Software Bill of Materials | ソフトウェア部品表の定義 |
The Role of SBOM in Software Transparency | ソフトウェアの透明性におけるSBOMの役割 |
High-Level SBOM Use Cases | 高レベルのSBOM使用例 |
xBOM Capabilities | xBOMの機能 |
CYCLONEDX OBJECT MODEL | CycloneDXオブジェクトモデル |
BOM Identity | BOMアイデンティティ |
The Anatomy of a CycloneDX BOM | CycloneDX BOMの解剖学 |
Serialization Formats | シリアライゼーション形式 |
LIFECYCLE PHASES | ライフサイクルフェーズ |
USE CASES | 使用例(ユースケース) |
Inventory | インベントリ |
Vulnerability Management | 脆弱性管理 |
Enterprise Configuration Management Database (CMDB) | エンタープライズ構成管理データベース(CMDB) |
Integrity Verification | 完全性の検証 |
Authenticity | 本人認証 |
License Compliance | ライセンスコンプライアンス |
Outdated Component Analysis | 失効したコンポーネントの分析 |
Provenance | 原産 |
Pedigree | 血統 |
Foreign Ownership, Control, or Influence (FOCI) | 外国人の所有、支配、または影響(FOCI) |
Export Compliance | 輸出コンプライアンス |
Procurement | 調達 |
Vendor Risk Management | ベンダーリスクマネジメント |
Supply Chain Management | サプライチェーン管理 |
Composition Completeness and "Known Unknowns" | 組成物の完全性と "既知の未知" |
Formulation Assurance and Verification | 配合保証と検証 |
BOM COVERAGE, MATURITY, AND QUALITY | BOMのカバー率、成熟度、品質 |
NTIA Minimum Elements | NTIA最小要素 |
SCVS BOM Maturity Model | SCVS BOM成熟度モデル |
SBOM Quality | SBOMの品質 |
GENERATING CYCLONEDX BOMS | CycloneDX BOMの生成 |
Approaches to Generating CycloneDX SBOMs | CycloneDX SBOM生成のアプローチ |
Generating SBOMs for Source Files | ソースファイルのSBOMを生成する |
Integrating CycloneDX Into The Build Process | ビルドプロセスへのCycloneDXの統合 |
Generating BOMs at Runtime | 実行時にBOMを生成する |
Generating BOMs From Evidence (from binaries) | エビデンス(バイナリ)からBOMを生成する |
Building CycloneDX BOMs Manually | CycloneDX BOMを手動でビルドする |
CONSUMING CYCLONEDX BOMS | CyclonwDX BOMを消費する |
LEVERAGING DATA COMPONENTS | データコンポーネントを活用する |
ESTABLISHING RELATIONSHIPS IN CYCLONEDX | サイクロンDXで関係を確立する |
Component Assemblies | コンポーネントアセンブリ |
Service Assemblies | サービスアセンブリ |
Dependencies | 依存関係 |
External References | 外部参照 |
Establishing Relationships With BOM-Link | BOM-Linkで関係を確立する |
Pedigree | 血統 |
Formulation | 定式化 |
EVIDENCE | エビデンス |
Component Identity | コンポーネントのアイデンティティ |
Recommendations | 推奨事項 |
Occurrences | 発生状況 |
Reachability Using Call Stacks | コールスタックを使った到達可能性 |
License and Copyright | ライセンスと著作権 |
SCENARIOS AND RECOMMENDATIONS | シナリオと推奨事項 |
General Guidance | 一般的なガイダンス |
Microservice | マイクロサービス |
Single Application (monolith, mobile app, etc) | 単一アプリケーション(モノリス、モバイルアプリなど) |
Multi-Product Solution | マルチ製品ソリューション |
Multi-Module Product | マルチモジュール製品 |
Using Modified Open Source Software | 修正オープンソースソフトウェアの使用 |
SBOM as Resource Locator | リソースロケータとしてのSBOM |
SBOM in Release Management | リリース管理におけるSBOM |
EXTENSIBILITY | 拡張性 |
CycloneDX Properties | CycloneDXプロパティ |
CycloneDX Properties and Registered Namespaces | CycloneDXプロパティと登録された名前空間 |
XML Extensions | XML拡張 |
APPENDIX A: GLOSSARY | 附属書A:用語集 |
APPENDIX B: REFERENCES | 附属書B:参考文献 |
序文
Introduction | 序文 |
CycloneDX is a modern standard for the software supply chain. At its core, CycloneDX is a general- purpose Bill of Materials (BOM) standard capable of representing software, hardware, services, and other types of inventory. The CycloneDX standard began in 2017 in the Open Worldwide Application Security Project (OWASP) community. CycloneDX is an OWASP flagship project, has a formal standardization process and governance model, and is supported by the global information security community. | CycloneDXは、ソフトウェアサプライチェーンのための最新標準である。CycloneDXは、ソフトウェア、ハードウェア、サービス、その他の種類の在庫を表現できる汎用部品表(BOM)標準である。CycloneDX標準は2017年にOpen Worldwide Application Security Project(OWASP)コミュニティで始まった。CycloneDXはOWASPの旗艦プロジェクトであり、正式な標準化プロセスとガバナンスモデルを持ち、グローバルな情報セキュリティコミュニティによってサポートされている。 |
Design Philosophy and Guiding Principles | 設計哲学と指針 |
The simplicity of design is at the forefront of the CycloneDX philosophy. The format is easily understandable by a wide range of technical and non-technical roles. CycloneDX is a full-stack BOM format with many advanced capabilities that are achieved without sacrificing the design philosophy. Some guiding principles influencing its design include: | シンプルな設計はCycloneDXの理念の最前線である。CycloneDXのフォーマットは、技術的、非技術的な幅広い役割の人々が容易に理解できるものである。CycloneDXは、設計理念を犠牲にすることなく達成された多くの高度な機能を持つフルスタックBOMフォーマットである。CycloneDXの設計に影響を与えた指針には、次のようなものがある: |
· Be easy to adopt and easy to contribute to | ・採用しやすく,貢献しやすくする |
· Identify risk to as many adopters as possible, as quickly as possible | ・できるだけ早く,できるだけ多くの採用者にリスクを識別する。 |
· Avoid blockers that prevent the identification of risk | ・リスクの特定を妨げるブロッカーを避ける。 |
· Continuous improvement - innovate quickly and improve over time | ・継続的改善 - 迅速に革新し,時間をかけて改善する。 |
· Encourage innovation and competition through extensions | ・拡張機能を通じて技術革新と競争を奨励する |
· Produce immutable and backward-compatible releases | ・不変かつ後方互換性のあるリリースを作成する |
· Focus on high degrees of automation | ・高度な自動化を重視する |
· Provide a smooth path to specification compliance through prescriptive design | ・規定設計により,仕様準拠へのスムーズな道筋を提供する |
Defining Software Bill of Materials | ソフトウェア部品表の定義 |
The U.S. National Telecommunications and Information Administration (NTIA) defines software bill as materials as "a formal, machine-readable inventory of software components and dependencies, information about those components, and their hierarchical relationships." OWASP CycloneDX implements this definition and extends it in many ways, including adding services as a foundational component in a Software Bill of Materials. | 米国国家電気通信情報局(NTIA)は、ソフトウェア部品表を "ソフトウェアコンポーネントと依存関係、それらのコンポーネントに関する情報、およびそれらの階層的関係の正式な、機械で読み取り可能なインベントリ "と定義している。OWASP CycloneDXはこの定義を実装し、ソフトウェア部品表における基礎的なコンポーネントとしてサービスを追加するなど、多くの方法でこれを拡張している。 |
The Role of SBOM in Software Transparency | ソフトウェアの透明性におけるSBOMの役割 |
Software transparency involves providing clear and accurate information about the components used in an application, including their name, version, supplier, and any dependencies required by the component. This information helps identify and manage the risks associated with the software whilst also enabling compliance with relevant regulations and standards. With the growing importance of software in our daily lives, transparency is critical to building trust in software and ensuring that it is safe, secure, and reliable. | ソフトウェアの透明性には、アプリケーションで使用されるコンポーネントについて、その名前、バージョン、供給者、コンポーネントが必要とする依存関係など、明確で正確な情報を提供することが含まれる。この情報は、ソフトウェアに関連するリスクの特定とマネジメントに役立つと同時に、関連する規制や標準への準拠を可能にする。日常生活におけるソフトウェアの重要性が高まる中、透明性は、ソフトウェアに対する信頼を構築し、安全、セキュアで信頼できることを保証するために不可欠である。 |
SBOMs are the vehicle through which software transparency can be achieved. With SBOMs, parties throughout the software supply chain can leverage the information within to enable various use cases that would not otherwise be easily achievable. SBOMs play a vital role in promoting software transparency, allowing users to make informed decisions about the software they use. | SBOMは、ソフトウェアの透明性を実現する手段である。SBOMによって、ソフトウェアのサプライチェーン全体の関係者は、その中の情報を活用して、他の方法では容易に達成できないような様々なユースケースを可能にすることができる。SBOMは、ソフトウェアの透明性を促進する上で重要な役割を果たし、ユーザが使用するソフトウェアについて十分な情報を得た上で意思決定できるようにする。 |
High-Level SBOM Use Cases | ハイレベルな SBOM の使用例 |
A complete and accurate inventory of all first-party and third-party components is essential for risk identification. SBOMs should ideally contain all direct and transitive components and the dependency relationships between them. | ファーストパーティおよびサードパーティの全コンポーネントの完全かつ正確なインベントリは、リスクの特定に不可欠である。SBOMは、理想的には、すべての直接的および推移的なコンポーネントと、それらの間の依存関係を含むべきである。 |
CycloneDX far exceeds the Minimum Elements for Software Bill of Materials as defined by the National Telecommunications and Information Administration (NTIA) in response to U.S. Executive Order 14028. | CycloneDXは、米国大統領令14028に対応して国家電気通信情報局(NTIA)が定義したソフトウェア部品表の最小要素をはるかに超えている。 |
Adopting CycloneDX allows organizations to quickly meet these minimum requirements and mature into using more sophisticated use cases over time. CycloneDX is capable of achieving all SBOM requirements defined in the OWASP Software Component Verification Standard (SCVS). | CycloneDXを採用することで、組織はこれらの最小要件を迅速に満たし、時間の経過とともにより洗練されたユースケースを使用するように成熟することができる。CycloneDXは、OWASPソフトウェアコンポーネント検証標準(SCVS)で定義されているすべてのSBOM要件を達成することができる。 |
A few high-level use cases for SBOM include: | SBOMのハイレベルなユースケースには、次のようなものがある: |
· Product security, architectural, and license risk | ・製品のセキュリティ,アーキテクチャ,ライセンスリスク |
· Procurement and M&A | ・調達とM&A |
· Software component transparency | ・ソフトウェア・コンポーネントの透明性 |
· Supply chain transparency | ・サプライチェーンの透明性 |
· Vendor risk management | ・ベンダーのリスクマネジメント |
xBOM Capabilities | xBOM機能 |
CycloneDX provides advanced supply chain capabilities for cyber risk reduction. Among these capabilities are: | CycloneDXは、サイバーリスク低減のための先進的なサプライチェーン機能をプロバイダしている。これらの機能には次のようなものがある: |
· Software Bill of Materials (SBOM) | ・ソフトウェア部品表(SBOM) |
· Software-as-a-Service Bill of Materials (SaaSBOM) | ・ソフトウェア・アズ・ア・サービス部品表(SaaSBOM) |
· Hardware Bill of Materials (HBOM) | ・ハードウェア部品表(HBOM) |
· Machine Learning Bill of Materials (ML-BOM) | ・機械学習部品表(ML-BOM) |
· Operations Bill of Materials (OBOM) | ・オペレーション部品表(OBOM) |
· Manufacturing Bill of Materials (MBOM) | ・製造部品表(MBOM) |
· Bill of Vulnerabilities (BOV) | ・脆弱性部品表(BOV) |
· Vulnerability Disclosure Report (VDR) | ・脆弱性開示レポート(VDR) |
· Vulnerability Exploitability eXchange (VEX) | ・脆弱性悪用可能性交換(VEX) |
· Common Release Notes Format | ・共通リリースノート形式 |
Software Bill of Materials (SBOM) | ソフトウェア部品表(SBOM) |
SBOMs describe the inventory of software components and services and the dependency relationships between them. A complete and accurate inventory of all first-party and third-party components is essential for risk identification. SBOMs should ideally contain all direct and transitive components and the dependency relationships between them. | SBOMは、ソフトウェアコンポーネントとサービスのインベントリ、およびそれらの間の依存関係を記述する。すべてのファーストパーティコンポーネントとサードパーティコンポーネントの完全で正確なインベントリは、リスクの特定に不可欠である。SBOMは、理想的には、すべての直接的および推移的なコンポーネントと、それらの間の依存関係を含むべきである。 |
Software-as-a-Service BOM (SaaSBOM) | サービス・アズ・ア・サービスBOM(SaaSBOM) |
SaaSBOMs provide an inventory of services, endpoints, and data flows and classifications that power cloud-native applications. CycloneDX is capable of describing any type of service, including microservices, Service Orientated Architecture (SOA), Function as a Service (FaaS), and System of Systems. | SaaSBOMは、クラウドネイティブなアプリケーションを支えるサービス、エンドポイント、データの流れと分類のインベントリを提供する。CycloneDXは、マイクロサービス、SOA(Service Orientated Architecture)、FaaS(Function as a Service)、System of Systemsなど、あらゆるタイプのサービスを記述できる。 |
SaaSBOMs complement Infrastructure-as-Code (IaC) by providing a logical representation of a complex system, complete with an inventory of all services, their reliance on other services, endpoint URLs, data classifications, and the directional flow of data between services. Optionally, SaaSBOMs may also include the software components that make up each service. | SaaSBOMは、すべてのサービスのインベントリ、他のサービスへの依存度、エンドポイントURL、データ分類、サービス間のデータの方向フローを含む複雑なシステムの論理的表現を提供することで、Infrastructure-as-Code(IaC)を補完する。オプションとして、SaaSBOMには各サービスを構成するソフトウェアコンポーネントも含めることができる。 |
Hardware Bill of Materials (HBOM) | ハードウェア部品表(HBOM) |
CycloneDX supports many types of components, including hardware devices, making it ideal for use with consumer electronics, IoT, ICS, and other types of embedded devices. CycloneDX fills an important role in between traditional eBOM and mBOM use cases for hardware devices. | CycloneDXは、ハードウェアデバイスを含む多くの種類のコンポーネントをサポートしており、家電、IoT、ICS、その他の種類の組み込みデバイスでの使用に最適である。CycloneDXは、ハードウェアデバイスの従来のeBOMとmBOMのユースケースの間で重要な役割を果たす。 |
Machine Learning Bill of Materials (ML-BOM) | 機械学習部品表(ML-BOM) |
ML-BOMs provide transparency for machine learning models and datasets, which provide visibility into possible security, privacy, safety, and ethical considerations. CycloneDX standardizes model cards in a way where the inventory of models and datasets can be used independently or combined with the inventory of software and hardware components or services defined in HBOMs, SBOMs, and SaaSBOMs. | ML-BOMは、機械学習モデルとデータセットの透明性を提供し、セキュリティ、プライバシー、安全性、倫理的配慮の可能性を可視化する。CycloneDXは、モデルとデータセットのインベントリをHBOM、SBOM、SaaSBOMで定義されたソフトウェアとハードウェアのコンポーネントやサービスのインベントリと独立して、または組み合わせて使用できる方法でモデルカードを標準化する。 |
Operations Bill of Materials (OBOM) | 運用部品表(OBOM) |
OBOMs provide a full-stack inventory of runtime environments, configurations, and additional dependencies. CycloneDX is a full-stack bill of materials standard supporting entire runtime environments consisting of hardware, firmware, containers, operating systems, applications, and libraries. Coupled with the ability to specify configuration makes CycloneDX ideal for Operations Bill of Materials. | OBOMは、ランタイム環境、構成、および追加の依存関係のフルスタックのインベントリを提供する。CycloneDXは、ハードウェア、ファームウェア、コンテナ、オペレーティングシステム、アプリケーション、ライブラリで構成されるランタイム環境全体をサポートするフルスタックの部品表標準である。コンフィギュレーションを指定する機能と相まって、CycloneDXは運用部品表に最適である。 |
Manufacturing Bill of Materials (MBOM) | 製造部品表(MBOM) |
CycloneDX can describe declared and observed formulations for reproducibility throughout the product lifecycle of components and services. This advanced capability provides transparency into how components were made, how a model was trained, or how a service was created or deployed. In addition, every component and service in a CycloneDX BOM can optionally specify formulation and do so in existing BOMs or in dedicated MBOMs. By externalizing formulation into dedicated MBOMs, SBOMs can link to MBOMs for their components and services, and access control can be managed independently. This allows organizations to maintain tighter control over what parties gain access to inventory information in a BOM and what parties have access to MBOM information which may have higher sensitivity and data classification. | CycloneDXは、コンポーネントやサービスの製品ライフサイクル全体を通して再現性を確保するために、宣言された配合と観察された配合を記述することができる。この高度な機能により、コンポーネントがどのように製造されたか、モデルがどのようにトレーニングされたか、サービスがどのように作成または展開されたかの透明性を提供する。さらに、CycloneDXのBOMに含まれるすべてのコンポーネントとサービスは、オプションで配合を指定することができ、既存のBOMまたは専用のMBOMでそれを行うことができる。定式化を専用のMBOMに外部化することで、SBOMはコンポーネントやサービスのMBOMにリンクでき、アクセス制御を独立して管理できる。これにより組織は、どの関係者が BOM 内のインベントリ情報にアクセスし、どの関係者がより高い機密性とデータ分類を持つ可能性のある MBOM 情報にアクセスするかを、より厳密に管理することができる。 |
Bill of Vulnerabilities (BOV) | 脆弱性情報(BOV) |
CycloneDX BOMs may consist solely of vulnerabilities and thus can be used to share vulnerability data between systems and sources of vulnerability intelligence. Complex vulnerability data can be represented, including the vulnerability source, references, multiple severities, risk ratings, details and recommendations, and the affected software and hardware, along with their versions. | CycloneDXのBOMは脆弱性のみで構成されるため、システム間や脆弱性情報のソース間で脆弱性データを共有するために使用できる。脆弱性のソース、代表者、複数の深刻度、リスク評価、詳細、推奨事項、影響を受けるソフトウェアとハードウェア、およびそれらのバージョンを含む、複雑な脆弱性データを表現することができる。 |
Vulnerability Disclosure Report (VDR) | 脆弱性情報開示レポート(VDR) |
VDRs communicate known and unknown vulnerabilities affecting components and services. Known vulnerabilities inherited from the use of third-party and open-source software can be communicated with CycloneDX. Previously unknown vulnerabilities affecting both components and services may also be disclosed using CycloneDX, making it ideal for Vulnerability Disclosure Report (VDR) use cases. CycloneDX exceeds the data field requirements defined in ISO/IEC 29147:2018 for vulnerability disclosure information. | VDRは、コンポーネントやサービスに影響を及ぼす既知および未知の脆弱性を伝える。サードパーティやオープンソースソフトウェアの使用から継承された既知の脆弱性は、CycloneDXでコミュニケーションできる。CycloneDXは、コンポーネントとサービスの両方に影響する未知の脆弱性も開示できるため、VDR(Vulnerability Disclosure Report)のユースケースに最適である。CycloneDXは、ISO/IEC 29147:2018で定義された脆弱性開示情報のデータフィールド要件を上回っている。 |
Vulnerability Exploitability eXchange (VEX) | 脆弱性悪用可能性交換(VEX) |
VEX conveys the exploitability of vulnerable components in the context of the product in which they're used. VEX is a subset of VDR. Oftentimes, products are not affected by a vulnerability simply by including an otherwise vulnerable component. VEX allows software vendors and other parties to communicate the exploitability status of vulnerabilities, providing clarity on the vulnerabilities that pose a risk and the ones that do not. | VEXは、脆弱なコンポーネントが使用されている製品のコンテキストにおける脆弱性の悪用可能性を伝える。VEXはVDRのサブセットである。多くの場合、脆弱性のあるコンポーネントを含むだけでは、製品は脆弱性の影響を受けない。VEXによって、ソフトウェアベンダーやその他の関係者は、脆弱性の悪用可能性のステータスをコミュニケーションすることができ、リスクをもたらす脆弱性とそうでない脆弱性を明確にすることができる。 |
Common Release Notes Format | 共通のリリースノート形式 |
CycloneDX standardizes release notes into a common, machine-readable format. This capability unlocks new workflow potential for software publishers and consumers alike. This functionality works with or without the Bill of Materials capabilities of the specification. | CycloneDXは、リリースノートを機械可読の共通フォーマットに標準化する。この機能により、ソフトウェアパブリッシャとコンシューマは同様に、新しいワークフローの可能性を解き放つ。この機能は、仕様の部品表機能の有無にかかわらず動作する。 |
オブジェクトタイプ...
Metadata | Supplier | Authors | Component | Manufacturer | Tools | Lifecycle | ||||
Components | Supplier | Identity | Pedigree | Provenance | Evidence | Component Type | Licenses | Hashes | Release Notes | Relationships |
Services | Provider | Data Classification | Trust Zone | Endpoints | Data Flow | Relationships | ||||
Dependencies | Components | Services | ||||||||
Components | Components | Services | Dependencies | |||||||
Vulnerabilities | Details | Source | Exploitability | Targets Affected | Advisories | Risk Ratings | Evidence | Version Ranges | ||
Formulation | Declared | Formulas | Tasks | Components | Observed | Workflows | Steps | Services | ||
Annotations | Per Person | Per Organization | Per Tool | Details | Timestamp | Signature | ||||
Extensions | Properties | Per Organization | Per Team | Formal Taxonomy | Per Industry |
« ISO/IEC 27032:2023 サイバーセキュリティ - インターネットセキュリティガイドライン | Main | 世界経済フォーラム (WEF) 自動車ソフトウェアの安全性とイノベーションを解き放つ »
Comments