SBOM運用の実態は3パターン
企業事例は外から探れるものではない。
唯一、metiが各社にインタビューしたものがあり、そこから推し量れる。
(少し古い。2021年)
1: 独自の管理票
例: 大半の大手ITベンダー
Excelでリストアップさせて、それを然るべき内部機関で審査するって感じ
これはSBOMではないsta.icon
ただのソフトウェアの構成票
例: トヨタ、デンソー
最初から融通の効く手作業で完結させる
正直1:と大差無いけど、SPDX Liteは「SPDXの一種」という泊がついているsta.icon
3: 全社的なDBにコンポーネント情報を集め、SBOMはここからつくる
例: Yahoo、サイボウズ
たとえば社員の誰かがvuejs-core v3.3.4の情報を登録したら、以後社員全員がそれを使える
1や2だと「vuejs-coreを使う人は全員各自が、vuejs-coreの各種情報を手作業で書く」必要がある
仮にとある大企業で、使ってる人が400人いたとしたら、400人がこの作業をしている
SBOMはこのDBからエクスポートすればいい
厳密にはこのDBを囲ったサービスがあって、そのサービス上で各社員はプロジェクトだの製品だとのコンポーネントだのといった単位を登録しているはずsta.icon
プロジェクトX
製品1
コンポーネントa
コンポーネントb
...
製品1のSBOMを出力すればいい
コンポーネントについては、全社的DBに保存されているのでそこから引用すればいい
コンポーネントの拡充
手作業もできるし、SBOMやpackage managerのファイルもimportできるし、SCAツールのスキャン結果も取り込める etc
ちなみにyamoryの人は、この段階をlv4(一番高い段階)としている https://gyazo.com/1833c004cc3c20ad80c79c4d8c9ae3c2
いや「活用段階4」だったsta.icon