依存関係(ソフトウェアやハードウェアだけでなく、確かに梱包費みたいなの含めて)が記述でき、問題の有無を(ルールベースで)自動検出できますからね。 ライセンスを売ったものの、前提ライセンスがBOMにない、バージョン要件満たしてないみたいな難しさを人が悩まないようにも。 #devsumi #devsumiD twitter.com/tks/status/155…
2022-07-21 15:36:04OpenChainなどでも、「ソフトウェアのBOM」とよく言います Materialは物質以外も指して、ハードウェアのBOMでも梱包費みたいなサービス費入るので、まあわかる twitter.com/mfunaki/status…
2022-07-21 15:26:22SBOM に対する懸念への回答 #devsumi #devsumiD pic.twitter.com/dXr0w4h5Ni
2022-07-21 15:33:58SBOM を作成するツールはベンダーから提供されるようになっているものの、その SBOM を読み込んで使用するツールは、まだデファクトスタンダードと言えるツールがない、とのことです。 #devsumi #devsumiD pic.twitter.com/2L7v5zXZda
2022-07-21 15:31:31要点: SBOM は既にフォーマットがあるので、オレオレフォーマットを再発明しないように注意。SPDX が多い。既存のフォーマットに則って機会に読ませて自動化しよう。 #devsumi #devsumiD pic.twitter.com/V7iLkpKYoV
2022-07-21 15:28:06SBOM はソフトウェアの部品表 セキュリティ面だけでなくライセンスの観点からも違反がないかの確認にも用いる アメリカでは、政府と関わるソフトウェアでは義務化されている #devsumi #devsumiD pic.twitter.com/hdDKEwQlTp
2022-07-21 15:24:18#SBOM 製造業のお客様にはすぅーっと入っていきそう。 某ERPベンダーにいた時に、お客さまに提案するアプリケーションやサービス一式をBOM(ボム)と呼んでいるのを何度も聞いて、当時知ったのでした。 #devsumi #devsumiD
2022-07-21 15:22:02デブサミ夏 D-6セッション『「サプライチェーン攻撃」に立ち向かう!SBOMを使った脆弱性管理がもたらす品質とスピード向上』横田 紋奈さん・佐藤 由久さん[JFrog Japan] 始まりました! #devsumi #devsumiD pic.twitter.com/H5Z25tzV9F
2022-07-21 15:09:06