付録 A: 用語集

• 保管チェーン (Chain of custody) - 起点、起点から終点への転送方法、転送エージェントの同一性に関する監査可能なドキュメント。

• コンポーネント機能 (Component function) - ソフトウェアコンポーネントが存在する目的。 コンポーネント機能の例としてはパーサー、データベース永続化、認証プロバイダなどがあります。

• コンポーネントタイプ (Component type) - ソフトウェアコンポーネントアーキテクチャの一般的な分類。 コンポーネントタイプの例としてはライブラリ、フレームワーク、コンテナ、オペレーティングシステムなどがあります。

• CycloneDX - 軽量でセキュリティを重視して設計されたソフトウェア部品表仕様。

• 直接依存関係 (Direct dependency) - プログラム自体により参照されるソフトウェアコンポーネント。

• パッケージマネージャ (Package manager) - 要求者がソフトウェア成果物を発見できるようにする配布メカニズム。

• パッケージ URL (Package URL, PURL) - ソフトウェアコンポーネントの構文と位置情報を標準化する、エコシステムに依存しない仕様。

• 系統 (Pedigree) - ソフトウェアが作成または変更された系譜やプロセスを説明するデータ。

• 起点 (Point of origin) - ソフトウェアコンポーネントが調達、送信、または受信されたサプライヤおよび関連するメタデータ。 パッケージリポジトリ、リリース配布プラットフォーム、バージョン管理履歴はさまざまな起点の例です。

• 調達 (Procurement) – 条件に同意し、後に使用するためにソフトウェアまたはサービスを取得するプロセス。

• 来歴 (Provenance) - ソフトウェアコンポーネントの保管と起源のチェーン。 来歴には配布を通じての起点と、改変されたソフトウェアの場合の派生物が盛り込まれています。

• ソフトウェア部品表 (Software bill of materials, SBOM) – 特定のソフトウェアで使用または提供される、すべてのソフトウェアコンポーネントおよび関連するメタデータの完全で、形式的に構造化された、機械読み取り可能なインベントリ。

• ソフトウェア識別 (Software Identification, SWID) - ソフトウェアのタグ付け方法を形式化した ISO 標準。

• ソフトウェアパッケージデータ交換 (Software Package Data Exchange, SPDX) - ソフトウェア部品表仕様とオープンソースライセンスの標準化されたリストを作成する Linux Foundation プロジェクト。

• サードパーティコンポーネント (Third-party component) – オープンソース、「ソース利用可能」、および商用またはプロプライエタリソフトウェアなどの、直接作成されていないソフトウェアコンポーネント。

• 間接依存関係 (Transitive dependency) - 依存関係の依存関係であることによりプログラムで間接的に使用されるソフトウェアコンポーネント。

\newpage