「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引（案）」に対する意見募集について

読んだ

sta.icon

SBOM改ざん防止の観点が無い。デジタル署名とか分散台帳とか。が、高度だし手引に載せるかは微妙だなぁ

SBOMいじった人を監査するという観点が無い。が、Security Software Supply Chainの分野だろうしちょっと話逸れてるかもな

SPDX-Liteという手作業に殺到しそうな空気を感じるので、手作業品質（ミスも過失も出るし提供速度も遅れて情報古いままとかになりがち）になっちゃうよぉぉ、なるべく自動化すべきだよぉぉ、的な警笛を鳴らしておきたいかも

表記揺れ問題も取り上げておいた方がいいかも

たとえば脆弱性判定システムSが「Apache Log4j」という名前で検査する場合、SBOMファイルにもこの名前で記載されてないといけない。「log4j」とかだけだと検出されなかったりする。表記を厳密に合わせないといけない、という世知辛い問題があるのです

脱線するが、そしてここを根本的に解決するためには「ソフトウェア名データベース」なるものをつくるのがベスト。それこそ国が主導するとか、大手ベンダーが協同で運営するとかのでかいレベルで

誤解をいくつか追加したい

「SBOMはソフトウェアのBOMであるため、対象はソフトウェアのみである」はfalse

「SBOMとはSPDX、CycloneDX、SWIDのことである。独自フォーマットのリストはSBOMではない」もfalse

独自でもいい。最小要件とかは満たしたいけど。むしろ日本はガラパゴスなので、たぶん日本向けの独自フォーマットを（上述したシステムを扱うポテンシャルも考慮した上で）考えた方がいい。これ、ベンチャー立ち上げられるだけのネタではあると思う。

p31、表4-1ににSPDX-Liteの記載が二回あるので片方消していい

SBOMファイル（jsonファイル）解読の解説があってもいいかも。json自体の説明、各種フォーマットの仕様が書かれたドキュメントへのリンク、あとはjqコマンドの使い方と例とかか

7.3.2節のツール紹介、GitHubもSBOMサポートしたので反映した方がいいかも

23/07/08、回答出てるね

出したの16人か