Skip to main content

SBOM(ソフトウェア部品表)

ソフトウェア部品表(SBOM)は、政府のセキュリティ規制に準拠するために必要となる場合があります。

SBOMは、Contrast Webインターフェイスで生成したり、簡単なAPIやContrastコマンドラインインターフェイス(CLI)を使用して生成できます。

ContrastのSBOMは、OWASPのCycloneDX SBOM規格および国際標準のSPDX形式に準拠しています。ContrastのSBOMには、アプリケーションが使用するソフトウェアに関する次のような情報が含まれます。

  • ライブラリ - コード本体に存在するオープンソースおよびサードパーティコンポーネント

  • ソフトウェアコンポーネントに適用されているライセンス

  • コード本体で使用されているソフトウェアコンポーネントのバージョン

注記

現在、CycloneDX 1.6とSPDX 3.0をサポートしています。

また、ContrastのSBOMは、米国商務省電気通信情報局(NTIA)の要件も満たしています。データ作成者、サプライヤー名、コンポーネント名、コンポーネントのバージョン、依存関係、タイムスタンプ、その他のユニークID(PURLやパッケージのSPDX識別子など)が含まれます。

開始する前に

  • Contrast Webインターフェイスからエクスポートする場合にはContrast Assessライセンスが必要

  • サポートされている言語:Java、.NET Framework、.NET Core、Node.js、Python、Ruby、Go、PHP

手順

SBOMレポートを生成するには、3つの方法があります。

  1. Contrastインターフェイスから生成:

    1. Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。

    2. アプリケーションの一覧からアプリケーション名を選択すると、そのアプリケーションの概要タブが表示されます。

    3. アプリケーションのページの右上にあるレポートアイコン(ReportsIcon.png ) をクリックします。

    4. ドロップダウンで、SBOM(ソフトウェア部品表)を生成SBOM)を選択します。

    5. 画面で「CycloneDx」または「SPDX」オプションを選択し、作成ボタンをクリックすると、SBOMレポートが作成されるのでダウンロードします。

  2. APIを使用してレポートを生成:

    1. CycloneDXの場合:GET<HOST>/Contrast/api/ng/<ORG_ID>/applications/<APP_ID>/libraries/sbom/cyclonedxリクエストをします。

    2. SPDXの場合:GET<HOST>/Contrast/api/ng/<ORG_ID>/applications/<APP_ID>/libraries/sbom/spdxリクエストをします。

    APIの使用についての詳細は、icon-external-link.svgREST APIを参照してください。

  3. CLIでレポートを生成:

    1. --saveオプションを使用します。--save cyclonedxまたは--save spdxで形式を選択します。詳細は、CLIコマンドを参照して下さい。

      注記

      • 現在、CLIでの.NETのサポートには制限があります。

      • 静的SCAの検出結果でSBOMを作成するには、CLIを使用します。

      • CLIを使用して作成されたSBOMには、CLIで登録されたライブラリデータのあるアプリケーションのクラス利用状況の情報が提供されます。