SBOMツールをカテゴリー分けしてみた

◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください
【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました
生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!!
https://tech-lab.connpass.com/event/315703/

サイオステクノロジーの佐々木です。

今回はSBOMツールについて様々な観点で表にまとめてみました。(目視で調べているので取りこぼしやミスがあるかもしれません。その際はご指摘ください)

SBOMとは何ぞやという方は別の記事がありますのでこちらを参照してください。

以下はすべてミニマムのプランになります。

今回分類対象とするSBOMツールは以下になります

Black Duck


Checkmarx SCA


FOSSA


FossID


Insignary Clarity


MEND SCA


Revenera SCA


Snyk


Sonatype Lifecycle


Veracode SCA


Daggerboard


Dependency-Track


OSS Review Toolkit (ORT)


SBOM Tool


ScanCode.io


Scancode Toolkit


SwiftBOM


Syft & Grype


Trivy


Yamory


Augur


BOM Doctor


SW360


in-toto


今後SBOMを選定するうえでの参考にしていただければと思います。

SBOMの生成方法

  • 自動生成ツール:ソースコードやバイナリから自動的にSBOMを生成するツール。
  • 手動生成ツール:開発者や管理者が手動で情報を入力してSBOMを作成するツール。
自動生成ツール手動生成
Black DuckYamory
Checkmarx SCAAugur
FOSSABOM Doctor
FossIDSW360
Insignary Clarity
MEND SCA
Revenera SCA
Snyk
Sonatype Lifecycle
Veracode SCA
Daggerboard
Dependency-Track
OSS Review Toolkit (ORT)
SBOM Tool
http://scancode.io/
Scancode Toolkit
SwiftBOM
Syft & Grype
Trivy
in-toto

対象とするプログラムの種類

  • オープンソース専用ツール:オープンソースソフトウェアのみに特化したSBOMを生成するツール。
  • 商用ソフトウェア対応ツール:商用ソフトウェアやプロプライエタリなコンポーネントも含めてSBOMを生成するツール。
オープンソース商用対応
FOSSABlack Duck
FOSSologyCheckmarx SCA
OSS Review Toolkit (ORT)FossID
SBOM ToolInsignary Clarity
http://scancode.io/MEND SCA
Scancode ToolkitRevenera SCA
SW360Snyk
SwiftBOMSonatype Lifecycle
Syft & GrypeVeracode SCA
TrivyYamory
Augur
BOM Doctor
Daggerboard
Dependency-Track
in-toto

SBOMの形式

  • 標準形式対応ツール:SBOMを特定の標準形式(例:CycloneDX、SWID、SPDXなど)で出力するツール。
  • カスタム形式対応ツール:独自の形式でSBOMを出力するツール。
CycloneDXSPDXカスタム形式対応ツール
Black DuckBlack DuckYamory
FOSSAFOSSAAugur
Insignary ClarityInsignary ClarityBOM Doctor
MEND SCAMEND SCASBOM Tool
Revenera SCARevenera SCAhttp://scancode.io/
SnykSnykScancode Toolkit
Sonatype LifecycleSonatype LifecycleSW360
Veracode SCAVeracode SCASwiftBOM
DaggerboardDaggerboardTrivy
Dependency-TrackDependency-Track
Syft & GrypeSyft & Grype

SBOMの利用用途

  • 脆弱性管理ツール:脆弱性の追跡や管理に特化したSBOMを生成するツール。
  • ライセンスコンプライアンスツール:ソフトウェアライセンスの管理に特化したSBOMを生成するツール。
  • サプライチェーンセキュリティツール:サプライチェーン攻撃やリスクの追跡に特化したSBOMを生成するツール。
脆弱性管理ツールライセンスコンプライアンスツールサプライチェーンセキュリティツール
Black DuckBlack DuckBlack Duck
Checkmarx SCAFOSSAInsignary Clarity
FOSSAFossIDDependency-Track
FossIDInsignary ClaritySyft & Grype
Insignary ClarityRevenera SCA
MEND SCASonatype Lifecycle
Revenera SCAVeracode SCA
SnykSW360
Sonatype Lifecycle
Veracode SCA
Daggerboard
Dependency-Track
Syft & Grype
Trivy

GUIの有無

無し
Black DuckYamory
Checkmarx SCAAugur
FOSSABOM Doctor
FossIDOSS Review Toolkit (ORT)
Insignary ClaritySBOM Tool
MEND SCAhttp://scancode.io/
Revenera SCAScancode Toolkit
Snykin-toto
Sonatype LifecycleSyft & Grype
Veracode SCATrivy
Daggerboard
Dependency-Track
SW360
SwiftBOM

こちらは2024年3月現在の情報で今後プロダクトのアップデートにより、機能が追加、削除される可能性があります。

今後もSBOM関連の情報を引き続き発信していきます。

アバター画像
About 佐々木寛太 20 Articles
普段はAPI開発をメインに最近はブロックチェーン周りに手を出し始めました。インフラが苦手なので今年はインフラ回りも攻めていこうかと思っています。休日は愛車とドライブしています。
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。


ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

Be the first to comment

Leave a Reply

Your email address will not be published.


*


質問はこちら 閉じる