SolarWinds等の事件以降、正規のアップデートや間接依存を狙うサプライチェーン攻撃が急増し、ソフトウェアの依存関係を可視化するSBOMの重要性が高まっています。欧米や日本でも法規制・手引きの導入が進み、SBOMは説明責任を果たすための基盤となっています。

主要フォーマットにはライセンス管理に強い「SPDX」と、セキュリティ用途に優れた「CycloneDX」があり、これらはCI/CDパイプライン上でコンテナイメージ等から自動生成されます。運用面では、検出された膨大な脆弱性から実際の悪用可能性を示す「VEX」やランタイム情報を掛け合わせることで、本当に修正すべき対象を絞り込みます。さらに、継続監視やOSSライセンス管理にも活用されます。

Sysdig SecureはSBOMの自動生成とランタイム情報の統合により、効率的なリスク対応を支援します。SBOMはシフトレフトを完成させる中核実装です。