📗
owasp-scvs-ja
  • OWASP SCVS ja
  • OWASP ソフトウェアコンポーネント検証標準 日本語版
    • 扉
    • 序文
    • SCVS の使用
    • 監査と認定
    • V1: インベントリ要件
    • V2: ソフトウェア部品表 (SBOM) 要件
    • V3: ビルド環境要件
    • V4: パッケージ管理要件
    • V5: コンポーネント分析要件
    • V6: 系統および来歴要件
    • ガイダンス: オープンソースポリシー
    • 付録 A: 用語集
    • 付録 B: 参考情報
Powered by GitBook
On this page
  • 管理目標
  • 検証要件

Was this helpful?

  1. OWASP ソフトウェアコンポーネント検証標準 日本語版

V2: ソフトウェア部品表 (SBOM) 要件

管理目標

ビルドパイプラインで正確なソフトウェア部品表 (SBOM) を自動的に作成することは、成熟した開発プロセスの一つの指標となります。 SBOM は機械読み取り可能なフォーマットを使用すべきです。 それぞれのフォーマットには異なる機能と得意とするユースケースがあります。 SBOM 採用の一部は特定の目的に最も適したユースケースと機能を特定することです。 組織全体で SBOM フォーマットを標準化することが望ましいこともありますが、機能、契約、コンプライアンス、または規制上の要件を満たすために複数のフォーマットを採用することが必要となる場合もあります。

検証要件

#

説明

L1

L2

L3

2.1

構造化されており、機械読み取り可能なソフトウェア部品表 (SBOM) フォーマットが存在している

✓

✓

✓

2.2

SBOM の作成は自動化されており再現可能である

✓

✓

2.3

各 SBOM は一意の識別子を有している

✓

✓

✓

2.4

SBOM は発行者、サプライヤ、または認定機関により署名されている

✓

✓

2.5

SBOM 署名検証が存在している

✓

✓

2.6

SBOM 署名検証を実施している

✓

2.7

SBOM にはタイムスタンプが付与されている

✓

✓

✓

2.8

SBOM はリスクを分析されている

✓

✓

✓

2.9

SBOM には SBOM が説明するすべてのコンポーネントの完全かつ正確なインベントリが含まれている

✓

✓

✓

2.10

SBOM にはそれが説明する資産またはアプリケーションについてのすべてのテストコンポーネントの正確なインベントリが含まれている

✓

✓

2.11

SBOM には SBOM が説明する資産またはソフトウェアに関するメタデータが含まれている

✓

✓

2.12

コンポーネント識別子はそれらのネイティブエコシステムから派生している (適用可能である場合)

✓

✓

✓

2.13

コンポーネントの起点は一貫した機械読み取り可能なフォーマット (PURL など) で識別されている

✓

2.14

SBOM で定義されたコンポーネントは正確なライセンス情報を有している

✓

✓

✓

2.15

SBOM で定義されたコンポーネントは有効な SPDX ライセンス ID または式を有している (適用可能である場合)

✓

✓

2.16

SBOM で定義されたコンポーネントは有効な著作権表示を有している

✓

2.17

SBOM で定義されたコンポーネントは、オリジナルから変更されたものである場合には、来歴と系統情報を詳述している

✓

2.18

SBOM で定義されたコンポーネントは一つ以上のファイルハッシュ (SHA-256, SHA-512, など) を有している

✓

PreviousV1: インベントリ要件NextV3: ビルド環境要件

Last updated 4 years ago

Was this helpful?