SBOM は、ソフトウェアを構成する部品やコンポーネントの一覧を示す部品表のような情報です。
正式には Software Bill of Materials の略です。
まず押さえたいポイント
- ソフトウェアの
材料一覧 - どんなコンポーネントが入っているか見える化する
- ソフトウェアセキュリティや ソフトウェアサプライチェーン の管理で重要
どんな場面で使うか
- 既知の脆弱性の影響調査
- ライセンス確認
- 委託先やベンダーからの構成情報の確認
- インシデント時の影響範囲調査
どんなふうに理解するとよいか
初心者向けには、料理でいう材料表 と考えると分かりやすいです。
ソフトが何でできているか分からないと、脆弱性やライセンスの影響も追いにくくなります。
押さえておきたい注意点
SBOM があるだけで安全になるわけではありません。
内容を更新できているか、実際の運用や脆弱性管理とつながっているかまで大事です。
実務で見るポイント
- 影響調査の初動がかなり早くなる
- OSS や依存関係の可視化に役立つ
- ビルド時に自動生成する運用もある