はじめに
こんにちは!SBOMツールを調査中のなーがです。前回に引き続きSCANOSSについてみていきます。今回は検証用GUIツールの「SBOM Workbench」を使ってみたのでインストール方法や機能について書きます。そもそもSBOMについてよく分からないという方は、まずこちらの記事を読んでみてください。
- SCANOSSについて
- 検証用GUIツール「SBOM Workbench」 ← 今回
- PythonのSDK「scanoss.py」
SBOM Workbenchについて
SBOM WorkbenchはSCANOSS API を使用してソース コードをスキャンおよび監査するためのGUIツールです。しかし、商用ツールとしてではなく、あくまで検証用という立ち位置になります。
ソース コード ディレクトリをスキャンするだけで、オープンソースコンポーネントを見つけて識別し、ボタンを押すだけでSBOM を生成できます。
インストール
下記のURLからインストーラーをダウンロードします。Linux、MacOS 、Windowsから選択できます。今回はWindows版を選択しました。
https://www.scanoss.com/product
ダウンロードされたZIPファイルを解凍して、インストーラーをダブルクリックします。
Windows のDefender SmartScreenによりブロックされた場合は、「詳細情報」をクリックし、「実行」をクリックします。
インストールが完了すると、アプリケーションが起動します。
日本語化
「File」から「Settings」をクリックします。
「Language」で「日本語」をクリックします。
「Save」をクリックします。
ポップアップが表示されるので、「すぐに再起動」をクリックします。
アプリケーションが起動すると日本語になります。
コードのスキャン
「新しいプロジェクト」または「scanning a new project」をクリックします。
スキャン対象とするコードのディレクトリを選択して「フォルダの選択」をクリックします。
「続ける」をクリックします。
スキャンが開始され、依存関係や脆弱性が進捗状況が表示されます。
スキャンが完了すると、以下のようなダッシュボードが表示されます。日本語設定にしていますが、一部英語のままになっている箇所もあります。
エクスポート
「エクスポート」をクリックします。
現在では、6種類のフォーマットで出力が出来ます。
「CycloneDX」形式で出力してみます。任意の場所を選択して「保存」をクリックします。
CycloneDX形式で出力されました。
検出されたコンポーネントの確認
「検出されたコンポーネント」をクリックします。
ここでは、どのファイルでコンポーネントが使用されているかを確認できます。
検出されたコンポーネントの「承認」をクリックするとポップアップが表示されます。
検出結果が間違っている場合は、変更出来ます。
「承認」をクリックします。
承認したコンポーネントの表示が「識別済み」に変更されました。
右上でプロジェクトで承認された依存関係の割合が確認できます。
レポートの確定されたコンポーネントで下記のように表示されるようになりました。
キーワード検索
キーワード検索では、入力した文字を含む依存関係を検索できます。
脆弱性の確認
「レポート」の脆弱性をクリックすると、検出された脆弱性が確認できます。
深刻度やソースが表示され、「CVE」のリンクから参照している脆弱性データベースにアクセスできます。
ホーム画面
左上の家アイコンをクリックするとプロジェクトの一覧が表示されます。
ここでは「プロジェクトのエクスポート」、「再スキャン」、「プロジェクト削除」を行うことが出来ます。
さいごに
今回は検証用GUIツールの「SBOM Workbench」を使ってみたのでインストール方法や機能について書きました。次回はSCANOSSのPython SDK「scanoss.py」を使ってみたことについて書く予定です。
