V2: ソフトウェア部品表 (SBOM) 要件

管理目標

ビルドパイプラインで正確なソフトウェア部品表 (SBOM) を自動的に作成することは、成熟した開発プロセスの一つの指標となります。 SBOM は機械読み取り可能なフォーマットを使用すべきです。 それぞれのフォーマットには異なる機能と得意とするユースケースがあります。 SBOM 採用の一部は特定の目的に最も適したユースケースと機能を特定することです。 組織全体で SBOM フォーマットを標準化することが望ましいこともありますが、機能、契約、コンプライアンス、または規制上の要件を満たすために複数のフォーマットを採用することが必要となる場合もあります。

検証要件

#	説明	L1	L2	L3
2.1	構造化されており、機械読み取り可能なソフトウェア部品表 (SBOM) フォーマットが存在している	✓	✓	✓
2.2	SBOM の作成は自動化されており再現可能である		✓	✓
2.3	各 SBOM は一意の識別子を有している	✓	✓	✓
2.4	SBOM は発行者、サプライヤ、または認定機関により署名されている		✓	✓
2.5	SBOM 署名検証が存在している		✓	✓
2.6	SBOM 署名検証を実施している			✓
2.7	SBOM にはタイムスタンプが付与されている	✓	✓	✓
2.8	SBOM はリスクを分析されている	✓	✓	✓
2.9	SBOM には SBOM が説明するすべてのコンポーネントの完全かつ正確なインベントリが含まれている	✓	✓	✓
2.10	SBOM にはそれが説明する資産またはアプリケーションについてのすべてのテストコンポーネントの正確なインベントリが含まれている		✓	✓
2.11	SBOM には SBOM が説明する資産またはソフトウェアに関するメタデータが含まれている		✓	✓
2.12	コンポーネント識別子はそれらのネイティブエコシステムから派生している (適用可能である場合)	✓	✓	✓
2.13	コンポーネントの起点は一貫した機械読み取り可能なフォーマット (PURL など) で識別されている			✓
2.14	SBOM で定義されたコンポーネントは正確なライセンス情報を有している	✓	✓	✓
2.15	SBOM で定義されたコンポーネントは有効な SPDX ライセンス ID または式を有している (適用可能である場合)		✓	✓
2.16	SBOM で定義されたコンポーネントは有効な著作権表示を有している			✓
2.17	SBOM で定義されたコンポーネントは、オリジナルから変更されたものである場合には、来歴と系統情報を詳述している			✓
2.18	SBOM で定義されたコンポーネントは一つ以上のファイルハッシュ (SHA-256, SHA-512, など) を有している			✓