はじめに
はじめまして。OpenChain project Japan Working Groupで活動している、とみたです。
Open Source Summit Japan 2023にて、OpenChain project Japan Working Group から3名でパネルディスカッションを行いました。
タイトルは、"Introducing OpenChain Japan Community's SBOM Initiatives" です。
SBOMとは、Software Bill of Materials を指します。直訳すると、「ソフトウェアの部品表」ということで、ソフトウェアサプライチェーンを改善するためのドキュメントの一つとして注目を集めています。
Open Source Summit japan 2023とは何か?についてはOpenChain project Japan Workng Groupのアドベントカレンダー2023でも公開されている以下のブログでご確認ください。
どんな発表をしたの?
OpenChain project Japan Working Groupの視点から、日本におけるSBOMの動向、Japan Working Groupの活動紹介、実際の企業のSBOMへの取り組み、今後の展望について発表しました。以下、簡単にご紹介します。
SBOMの重要性と日本におけるSBOMの動向について
SBOMはソフトウェアサプライチェーンの中で、脆弱性などのセキュリティ対策や、OSSライセンスコンプライアンス管理などに活用されます。
日本でもSBOMの活用が重要視されており、2019年には経済産業省にてSBOM活用のためのタスクフォースが発足されました。
2022年には実証実験が開始され、2023年にはSBOM導入に関する手引書が公開されました。
手引書については、OpenChain project Japan Working Groupのアドベントカレンダーでも15日目に解説しています。
OpenChain project Japan Working Groupについて
OpenChain project Japan Work GroupはLinux FoundationのOpenChain Projectの日本での活動です。
OSSコンプライアンスのためのベストプラクティスの共有や共通課題の解決を図るための日本語のコミュニティです。
サブグループとして活動するAutomation and SBOMサブグループでは、今後リリース予定のSPDX3.0について、Lite Profileの貢献や、日本語の教育資料の作成・コミュニティミーティングの開催を実施しています。Open Source Summit Japanのセッションでは、Lite Profileの紹介や、日本コミュニティの様子を紹介しました。
SPDX3.0については以下の記事で紹介しています。
SPDX Liteについては以下の記事で紹介しています。
今後の展望
実際にOpenChain projectに参加している企業として、NECとCybertrust JapanのSBOM活用の例を紹介しました。NECでは、社内のOSSコンプライアンスガバナンスの観点から、社内でSBOMを運用する上でのガイドラインを作成したり、e-learningを設けたりしています。Cybertrust Japanでは、OpenSSF参加企業の観点から、「OSS セキュリティのための動員プラン」をベースとして、社内でのSBOM教育や製品への実装を行っています。
日本では強制力のある法令や制度がまだ存在しないものの、いくつかの産業や、企業では既に導入が始まっています。このため、個々でユースケースやソリューションをとどめるのではなく、政府、産業界、コミュニティとの連携を深めていくことが重要であると考えています。組織同士の連携を深めることによって、運用上の課題を整理し、より実態に即した日本の運用指針が策定できることを期待しています。
OpenChain project Japan Working Gourpでも、SBOM活用のための教育資料の作成や、ユースケースの共有、産業界や政府との連携を深めていく予定です。
セッションはどこで見られる?
現在、スライドとセッションの動画はイベントページやYoutubeで公開されています。
是非以下からご視聴ください。
最後に
発表でも言及したように、SBOMを有効に活用し、普及するためには、企業、産業界、コミュニティ、政府が連携を深めることが重要です。
是非OpenChain projectに参加して、課題、解決策、ユースケースを共有してください。私たちとコラボレーションして、よりよい環境を作っていきましょう!
OpenChain project Japan Working Groupの最近の活動については以下の記事をご確認ください。