SBOM(ソフトウェア部品表)
ソフトウェア部品表(SBOM)は、政府のセキュリティ規制に準拠するために必要となる場合があります。
SBOMは、Contrast Webインターフェイスで生成したり、簡単なAPIやContrastコマンドラインインターフェイス(CLI)を使用して生成できます。
ContrastのSBOMは、OWASPのCycloneDX SBOM規格および国際標準のSPDX形式に準拠しています。ContrastのSBOMには、アプリケーションが使用するソフトウェアに関する次のような情報が含まれます。
ライブラリ - コード本体に存在するオープンソースおよびサードパーティコンポーネント
ソフトウェアコンポーネントに適用されているライセンス
コード本体で使用されているソフトウェアコンポーネントのバージョン
注記
現在、CycloneDX 1.6とSPDX 3.0をサポートしています。
また、ContrastのSBOMは、米国商務省電気通信情報局(NTIA)の要件も満たしています。データ作成者、サプライヤー名、コンポーネント名、コンポーネントのバージョン、依存関係、タイムスタンプ、その他のユニークID(PURLやパッケージのSPDX識別子など)が含まれます。
開始する前に
Contrast Webインターフェイスからエクスポートする場合にはContrast Assessライセンスが必要
サポートされている言語:Java、.NET Framework、.NET Core、Node.js、Python、Ruby、Go、PHP
手順
SBOMレポートを生成するには、3つの方法があります。
Contrastインターフェイスから生成:
Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。
アプリケーションの一覧からアプリケーション名を選択すると、そのアプリケーションの概要タブが表示されます。
アプリケーションのページの右上にあるレポートアイコン(
) をクリックします。
ドロップダウンで、SBOM(ソフトウェア部品表)を生成SBOM)を選択します。
画面で「CycloneDx」または「SPDX」オプションを選択し、作成ボタンをクリックすると、SBOMレポートが作成されるのでダウンロードします。
APIを使用してレポートを生成:
CycloneDXの場合:GET
<HOST>/Contrast/api/ng/<ORG_ID>/applications/<APP_ID>/libraries/sbom/cyclonedx
リクエストをします。SPDXの場合:GET
<HOST>/Contrast/api/ng/<ORG_ID>/applications/<APP_ID>/libraries/sbom/spdx
リクエストをします。
APIの使用についての詳細は、
REST APIを参照してください。
CLIでレポートを生成: