サイオステクノロジーの佐々木です。
今回はSBOMツールについて様々な観点で表にまとめてみました。(目視で調べているので取りこぼしやミスがあるかもしれません。その際はご指摘ください)
SBOMとは何ぞやという方は別の記事がありますのでこちらを参照してください。
以下はすべてミニマムのプランになります。
今回分類対象とするSBOMツールは以下になります
Black Duck
Checkmarx SCA
FOSSA
FossID
Insignary Clarity
MEND SCA
Revenera SCA
Snyk
Sonatype Lifecycle
Veracode SCA
Daggerboard
Dependency-Track
OSS Review Toolkit (ORT)
SBOM Tool
Scancode Toolkit
SwiftBOM
Syft & Grype
Trivy
Yamory
Augur
BOM Doctor
SW360
in-toto
今後SBOMを選定するうえでの参考にしていただければと思います。
SBOMの生成方法:
- 自動生成ツール:ソースコードやバイナリから自動的にSBOMを生成するツール。
- 手動生成ツール:開発者や管理者が手動で情報を入力してSBOMを作成するツール。
| 自動生成ツール | 手動生成 |
|---|---|
| Black Duck | Yamory |
| Checkmarx SCA | Augur |
| FOSSA | BOM Doctor |
| FossID | SW360 |
| Insignary Clarity | |
| MEND SCA | |
| Revenera SCA | |
| Snyk | |
| Sonatype Lifecycle | |
| Veracode SCA | |
| Daggerboard | |
| Dependency-Track | |
| OSS Review Toolkit (ORT) | |
| SBOM Tool | |
| http://scancode.io/ | |
| Scancode Toolkit | |
| SwiftBOM | |
| Syft & Grype | |
| Trivy | |
| in-toto | |
対象とするプログラムの種類:
- オープンソース専用ツール:オープンソースソフトウェアのみに特化したSBOMを生成するツール。
- 商用ソフトウェア対応ツール:商用ソフトウェアやプロプライエタリなコンポーネントも含めてSBOMを生成するツール。
| オープンソース | 商用対応 |
|---|---|
| FOSSA | Black Duck |
| FOSSology | Checkmarx SCA |
| OSS Review Toolkit (ORT) | FossID |
| SBOM Tool | Insignary Clarity |
| http://scancode.io/ | MEND SCA |
| Scancode Toolkit | Revenera SCA |
| SW360 | Snyk |
| SwiftBOM | Sonatype Lifecycle |
| Syft & Grype | Veracode SCA |
| Trivy | Yamory |
| Augur | |
| BOM Doctor | |
| Daggerboard | |
| Dependency-Track | |
| in-toto | |
SBOMの形式:
- 標準形式対応ツール:SBOMを特定の標準形式(例:CycloneDX、SWID、SPDXなど)で出力するツール。
- カスタム形式対応ツール:独自の形式でSBOMを出力するツール。
| CycloneDX | SPDX | カスタム形式対応ツール |
|---|---|---|
| Black Duck | Black Duck | Yamory |
| FOSSA | FOSSA | Augur |
| Insignary Clarity | Insignary Clarity | BOM Doctor |
| MEND SCA | MEND SCA | SBOM Tool |
| Revenera SCA | Revenera SCA | http://scancode.io/ |
| Snyk | Snyk | Scancode Toolkit |
| Sonatype Lifecycle | Sonatype Lifecycle | SW360 |
| Veracode SCA | Veracode SCA | SwiftBOM |
| Daggerboard | Daggerboard | Trivy |
| Dependency-Track | Dependency-Track | |
| Syft & Grype | Syft & Grype |
SBOMの利用用途:
- 脆弱性管理ツール:脆弱性の追跡や管理に特化したSBOMを生成するツール。
- ライセンスコンプライアンスツール:ソフトウェアライセンスの管理に特化したSBOMを生成するツール。
- サプライチェーンセキュリティツール:サプライチェーン攻撃やリスクの追跡に特化したSBOMを生成するツール。
| 脆弱性管理ツール | ライセンスコンプライアンスツール | サプライチェーンセキュリティツール |
|---|---|---|
| Black Duck | Black Duck | Black Duck |
| Checkmarx SCA | FOSSA | Insignary Clarity |
| FOSSA | FossID | Dependency-Track |
| FossID | Insignary Clarity | Syft & Grype |
| Insignary Clarity | Revenera SCA | |
| MEND SCA | Sonatype Lifecycle | |
| Revenera SCA | Veracode SCA | |
| Snyk | SW360 | |
| Sonatype Lifecycle | ||
| Veracode SCA | ||
| Daggerboard | ||
| Dependency-Track | ||
| Syft & Grype | ||
| Trivy | ||
GUIの有無
| 有 | 無し |
|---|---|
| Black Duck | Yamory |
| Checkmarx SCA | Augur |
| FOSSA | BOM Doctor |
| FossID | OSS Review Toolkit (ORT) |
| Insignary Clarity | SBOM Tool |
| MEND SCA | http://scancode.io/ |
| Revenera SCA | Scancode Toolkit |
| Snyk | in-toto |
| Sonatype Lifecycle | Syft & Grype |
| Veracode SCA | Trivy |
| Daggerboard | |
| Dependency-Track | |
| SW360 | |
| SwiftBOM |
こちらは2024年3月現在の情報で今後プロダクトのアップデートにより、機能が追加、削除される可能性があります。
今後もSBOM関連の情報を引き続き発信していきます。
