ソフトウェア部品表 (SBOM)
CRAの要件のひとつに、「SBOM(ソフトウェア部品表)」の作成があります。これは、一般的に使用されている機械可読な形式で作成する必要があり、少なくとも各製品のトップレベルの依存関係をカバーしなければなりません。
正確なSBOMを手動で作成するのは現実的ではなく、自動化が不可欠です。
EU CRA 条文参照
附属書 I、第II部、第1条
デジタル要素を含む製品の製造者は、製品に含まれる脆弱性および構成要素を特定し、文書化しなければならない。
これには、少なくとも製品のトップレベルの依存関係をカバーした、一般的に使用される機械可読形式でのソフトウェア部品表(SBOM)の作成が含まれる。
OWASP SAMM 参照
ソフトウェア保証成熟度モデル
(SAMM:Software Assurance Maturity Model)
SAMMは、組織が自社のソフトウェアセキュリティ対策を分析・改善するためのオープンフレームワークです。
SAMMの実装には、対象となる本番環境全体で使用されているすべての依存関係を記録することが含まれており、各アプリケーションに対するソフトウェア部品表(SBOM)の作成などが求められます。
Qt フレームワークハイライト
SBOMの自動生成
Qt 6.8.0以降では、ビルドプロセスの一部としてSBOM(ソフトウェア部品表)を自動生成することができます。生成されたSBOMは、脆弱性の検出やライセンス遵守の確認、ファイルの完全性や著作権情報の管理などに活用できます。
QtのSBOMの構成要素
SBOMにはさまざまな種類や形式がありますが、Qtでは特に実用性の高いBuild SBOMを採用しています。
QtのSBOMは、ソースファイルや依存関係の情報、すでに生成されたコンポーネント、不安定なビルドプロセスのデータ、さらに他のSBOMなどを基に構成されています。
SPDX v2.3形式でSBOMを取得
Qtでは、各Qt FrameworkのGitリポジトリをビルドするごとに、SPDX v2.3形式のSBOMドキュメントが1つ生成されます。形式はtag:value形式とJSON形式の両方に対応しています。
オンラインインストーラーを使用する場合は、SBOMが自動的に専用ディレクトリに格納されます。
Qt Group 今後の対応
QQUL (Qt for MCUs)向けのSBOMの作成
Axivion向けのSBOMの作成
Squish向けのSBOMの作成
Coco向けのSBOMの作成
SBOMに関連する情報
本ページおよび本ウェブサイトに記載されている情報は、法的助言を構成するものではありません。掲載内容は、あくまで情報提供およびテーマに関する議論を目的としたものであり、予告なく変更される可能性があります。Qt Groupは、本ページの内容の正確性や最新性を保証するものではなく、また本ページからリンクされている外部サイトや、外部サイトから本ページへリンクされているコンテンツや運営について一切の責任を負いません。本ページの情報は、法律上の助言の代替として使用すべきものではなく、そのように解釈されるべきではありません。