SBOMの前段にSyBOMがある
inspired by:
---
あるソフトウェアが依存している構成情報のこと
もっというとソフトウェア(≒ライブラリ)の一覧のこと
モダンな言語だと、≒パッケージマネージャで追加したパッケージの一覧
JavaやC系など昔の基幹系だとパケマネがない(手作業でDL&配置したりしてる)ので、自分たちで確認するしかない
一方で、システムが何を使っているかという構成情報、という観点がある
これをそのままSBOMで管理するのは難しい
SBOMはソフトウェアのレイヤーであり、システムのレイヤーではない
システムのレイヤー部分を指す概念が必要
System BOMということでSyBOMと名付ける SyBOM
あるサーバー単位が依存しているソフトウェアのこと
もっというとインストールされたソフトウェア(ミドルウェア含む)の一覧のこと
これはインストール情報から抽出できる
Windowsの場合、レジストリを見ればいい
Linuxの場合、ディストリビューション次第だがyumだのrpmだのpacmanだのを見ればいい
ここまで導入するときれいな関係になる
1: 1システムはnサーバーを持っている
2: 1サーバーはnソフトウェアをインストールしている
3: 1ソフトウェアはnライブラリを使っている
1は、nのSyBOMで表現される(2をn個揃える)
2は、1のSyBOMで表現される
3は、1のSBOMで表現される
各SyBOMと各SBOMを生成または入手すればよいsta.icon
現状SBOMはSPDXやらCycloneDXやらの規格があるが、SyBOMに相当するところがない
「ブルーオーシャンだろ、俺たちが先導してつくっていけばいいんじゃねえの?」みたいなことを言っているのがなかなか通じないsta.icon