米国 CISA ソフトウェア部品の透明性の枠組み：共通ソフトウェア部品表（SBOM）の確立（第3版） (2024.10.15)

こんにちは、丸山満彦です。

2019年に初版が発効され、その後2021.10.21に第2版に改訂された、「ソフトウェア部品の透明性の枠組み：共通ソフトウェア部品表（SBOM）の確立（第2版）」の第3版が公表されていますね。。。

だんだんと充実してきていますね...

 

● CISA

・2024.10.15 Framing Software Component Transparency (2024)

SBOM属性の定義とその内容を明確化し、各属性について期待される最低限、推奨実践事項、および野心的目標を提示していますね。。。

・[PDF] 

・[DOCX][PDF] 仮訳

 

目次...

About This Document	この文書について
1 Problem Statement	1 問題提起
1.1 Goals	1.1 目標
2 What is an SBOM?	2 SBOMとは
2.1 SBOM Elements	2.1 SBOM要素
2.2 Baseline Attributes	2.2 ベースライン属性
2.2.1 SBOM Meta-Information	2.2.1 SBOMメタ情報
2.2.1.1 Author Name	2.2.1.1 許可者名
2.2.1.2 Timestamp	2.2.1.2 タイムスタンプ
2.2.1.3 Type	2.2.1.3 タイプ
2.2.1.4 Primary Component (or Root of Dependencies)	2.2.1.4 プライマリコンポーネント（または依存関係のルート）
2.2.2 Component Attributes	2.2.2 コンポーネント属性
2.2.2.1 Component Name	2.2.2.1 コンポーネント名
2.2.2.2 Version	2.2.2.2 バージョン
2.2.2.3 Supplier Name	2.2.2.3 サプライヤ名
2.2.2.4 Unique Identifier	2.2.2.4 ユニーク識別子
2.2.2.5 Cryptographic Hash	2.2.2.5 暗号ハッシュ
2.2.2.6 Relationship	2.2.2.6 リレーションシップ
2.2.2.6.1 Primary Relationship	2.2.2.6.1 プライマリー・リレーションシップ
2.2.2.6.2 “Included In” Relationship	2.2.2.6.2 "Included In" 関係
2.2.2.6.3 Heritage or Pedigree Relationship	2.2.2.6.3 ヘリテージまたは血統関係
2.2.2.6.4 Relationship Completeness	2.2.2.6.4 関係の完全性
2.2.2.7 License	2.2.2.7 ライセンス
2.2.2.8 Copyright Notice	2.2.2.8 著作権表示
2.3 Undeclared SBOM Data	2.3 宣言されていないSBOMデータ
2.3.1 Unknown Component Attributes	2.3.1 未知のコンポーネント属性
2.3.2 Redacted Components	2.3.2 コンポーネントの再編集
2.3.3 Unknown Dependencies	2.3.3 未知の依存関係
2.4 Supplemental Information to Support Use Cases	2.4 ユースケースをサポートする補足情報
2.5 Mapping to Existing Formats	2.5 既存フォーマットへのマッピング
2.6 SBOM Examples	2.6 SBOMの例
3 SBOM Processes	3 SBOMプロセス
3.1 SBOM Creation: How	3.1 SBOMの作成：
3.2 SBOM Creation: When	3.2 SBOMの作成： の場合
3.3 SBOM Exchange	3.3 SBOM交換
3.4 Software Supply Chain Rules	3.4 ソフトウェア・サプライチェーン・ルール
3.5 Roles and Perspectives	3.5 役割と展望
3.5.1 Perspectives	3.5.1 視点
3.5.1.1 Produce	3.5.1.1 作成
3.5.1.2 Choose	3.5.1.2 選定
3.5.1.3 Operate	3.5.1.3 運用
3.6 SBOM Use Cases	3.6 SBOM使用例
3.6.1 Vulnerability Management and VEX	3.6.1 脆弱性管理とVEX
3.6.2 Intellectual Property	3.6.2 知的財産
3.6.3 Secure Supply Chain Software Assurance	3.6.3 安全なサプライチェーン・ソフトウェア保証
3.7 Tool Support	3.7 ツールサポート
4 Conclusion	4 結論
Appendix A Edition Changes	附属書 A 版の変更
Appendix B Terminology	附属書 B 用語集
Appendix C Third Edition Acknowledgements	附属書 C 第3版 謝辞