Skip to main content

SBOM(ソフトウェア部品表)

ソフトウェア部品表(SBOM)は、政府のセキュリティ規制に準拠するために必要となる場合があります。

SBOMは、Contrast Webインターフェイスで生成したり、簡単なAPIやContrastコマンドラインインターフェイス(CLI)を使用して生成できます。

ContrastのSBOMは、OWASPのCycloneDX SBOM規格および国際標準のSPDX形式に準拠しています。ContrastのSBOMには、アプリケーションが使用するソフトウェアに関する次のような情報が含まれます。

  • ライブラリ - コード本体に存在するオープンソースおよびサードパーティコンポーネント

  • ソフトウェアコンポーネントに適用されているライセンス

  • コード本体で使用されているソフトウェアコンポーネントのバージョン

注記

現在、CycloneDX v1.4とSPDX 2.2をサポートしています。

また、ContrastのSBOMは、米国商務省電気通信情報局(NTIA)の要件も満たしています。データ作成者、サプライヤー名、コンポーネント名、コンポーネントのバージョン、依存関係、タイムスタンプ、その他のユニークID(PURLやパッケージのSPDX識別子など)が含まれます。

開始する前に

  • Contrast Webインターフェイスからエクスポートする場合にはContrast Assessライセンスが必要

  • サポートされている言語:Java、.NET Framework、.NET Core、Node.js、Python、Ruby、Go、PHP

手順

SBOMレポートを生成するには、3つの方法があります。

  1. Contrastインターフェイスから生成:

    1. Contrast Webインターフェイスのナビゲーションバーでアプリケーションを選択します。

    2. アプリケーションのページの右上にあるレポートアイコン(ReportsIcon.png ) をクリックします。

    3. ドロップダウンで、SBOM(ソフトウェア部品表)を生成を選択すると、レポートが作成され自動的にダウンロードされます。CycloneDXとSPDX形式に対応しています。

  2. APIを使用してレポートを生成:

    1. CycloneDXの場合:GET<HOST>/Contrast/api/ng/<ORG_ID>/applications/<APP_ID>/libraries/sbom/cyclonedxリクエストをします。

    2. SPDXの場合:GET<HOST>/Contrast/api/ng/<ORG_ID>/applications/<APP_ID>/libraries/sbom/spdxリクエストをします。

    APIの使用についての詳細は、icon-external-link.svgREST APIを参照してください。

  3. CLIでレポートを生成:

    1. --saveオプションを使用します。--save cyclonedxまたは--save spdxで形式を選択できます。詳細は、CLIコマンドを参照してください。

      注記

      • 現在、CLIでの.NETのサポートには制限があります。

      • 静的SCAの検出結果でSBOMを作成するには、CLIを使用します。

      • CLIを使用して作成されたSBOMには、CLIで登録されたライブラリデータのあるアプリケーションのクラス利用状況の情報が提供されます。

このセクションの内容: