Mend SCA（旧WhiteSource）にSBOMエクスポート機能がリリースされました。 - リックソフトブログ

2022年12月13日
Mend SCA（旧WhiteSource）にSBOMエクスポート機能がリリースされました。

Author

大塚和彦 Kazuhiko Ohtsuka

　　

エンタープライズ向けのSCAツール「Mend SCA」にSBOM（Software Bill Of Materials：ソフトウェア部品表）を出力する機能がリリースされました。SBOM出力機能がMEND SCAの標準機能となり、Mend SCA のWebUI上、あるいはREST APIを使用してSBOM出力が行えるようになりました。

Mend SCA新機能「SBOMエクスポート」の概要

Mend SCA（旧WhiteSource）を使用すると、アプリケーションで使用されるライブラリ、コードパッケージ、およびその他のサードパーティコンポーネントを指定するソフトウェア部品表 (SBOM) をエクスポートすることができます。

これまでも、Gitに公開中の「Mend SBOM Generator in SPDX or CycloneDX format」（以下「ジェネレータ」）をMend SCAと組み合わせて利用する（ジェネレータを別途インストールして実行する）ことで、SBOMを出力することは可能でしたが、本機能のリリースにより、ジェネレータを必要とすることなく、Mend SCA単体でSBOM出力が行えるようになったことが、これまでとの大きな違いとなります。

また、Mend SCAのSBOMエクスポートは、ジェネレータよりも詳細な情報が取得することができます。例えば、ジェネレータでは得られなかったパッケージの説明やパッケージ配布元のWebサイトのURLも、SBOMエクスポート機能であればそれらの情報が出力されますので、より活用の幅が広がります。

SBOM規格

SBOM エクスポートレポートは現在、プロジェクトレベルでのみです。

JSON、YAML、および XML 形式で利用できます。

SBOM 規格は SPDX 2.2 です。

SBOMエクスポートの手順

SBOM レポートをエクスポートするには:

手順1）Web コンソールのメニューバーから、[レポート] > [SBOM エクスポート] を選択します。SBOM エクスポート画面が表示され、使用可能な SBOM レポートが一覧表示されます。

手順２）横にある[エクスポート] ボタンをクリックして、必要なレポートを選択します。

手順３）[エクスポート] ダイアログボックスが開き、プロジェクトの詳細をエクスポートするための特定の製品 (プロジェクトを含む) とプロジェクトを選択できます。

例えば：

手順４）エクスポートするプロジェクトを含む製品を選択するには、[製品: ] の横にある[選択]リンクをクリックし、表示される使用可能な製品のリストから必要な製品を選択します。

手順５）エクスポートに必要なプロジェクトを選択するには、[プロジェクト: ] の横にある[選択]リンクをクリックし、開いた使用可能なプロジェクトのリストから必要なプロジェクトを選択します。

手順６）[ファイル形式] ドロップダウンから、生成されたレポートに必要なファイル形式を選択します。オプションは、 JSON、YAML、またはXMLです。

手順７）[エクスポート] ボタンをクリックして、選択したレポートを生成します。
レポートは非同期的に生成され、準備が整うと、プロファイル名の下の[マイレポート]セクションで利用できるようになります。

手順８）エクスポートされた SBOM レポートをダウンロードするには:
ダウンロードするレポートの横にある[ダウンロード] リンクをクリックします。
指定した形式でレポートがダウンロードされます。

おわりに

Mend SCAは、類似サービスとは異なり、「レポート機能」「ポリシー・コンプライアンス」「脆弱性発見時のリコメンド機能」「周辺開発ツールとの連携」など開発プロセスに深く入り込んだ多くのメリットを提供しています。

SBOM（Software Bill Of Materials：ソフトウェア部品表）の出力結果のレポートなどを知りたい。

JiraやBitbucket、Github Enterpriseと連携して評価してみたいなどがあれば、お問い合わせください。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　製品概要導入事例資料ダウンロードお問い合わせ　　　　　　　　　　

関連情報（ブログ）

: 「Mend SCA」でオープンソースのセキュリティ＆コンプライアンス管理

: アプリケーションを外部攻撃の標的にさせないためのセキュリティ 2022年

: WhiteSourceの名称が「Mend SCA」になりました

: Mend SCA(旧Whitesource）：アプリケーションセキュリティの「アラート疲れ」からの解放

　　　　　　　　　　　　　　

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

本情報はブログを公開した時点の情報となります。
ご不明な点はお問い合わせください。

　　　　　　　　

お問い合わせ　　　　　　

　　

本ブログのカテゴリ： Mend SCA（旧WhiteSource）

« アリゾナ大学、JiraとTempoを使い大規模リソースとロードマップの課題を解決(2022年12月12日)

(2022年12月15日)Confluence（コンフルエンス）クラウド版で見出しやセクションごとに背景色を付けることはできますか？ »

最近の記事

　　

アトラシアン製品の導入と活用を
成功させたいなら
リックソフトのサポートが
必要です。

サードパーティ製のアドオンもサポート

サポート

アトラシアン社ではサポート範囲外となっているサードパーティ製のアドオンをリックソフトのサポートではサポートします。

アトラシアン製品とサードパーティ製のアドオンとの事象の切り分け
海外のアドオンベンダーとのやり取りを代行（日→英／英→日）

リックソフトのサポートは開発元が提供するサポート以上の価値があります。

サポートについて

ツールの活用を促進するアイテム

各種ガイドブック

ツールを導入しただけでは成功とはいえません。利用者が効果を感じていただくことが大切です。独自で制作した各種ガイドブックはツール活用を促進します。

リックソフトからライセンス購入を頂いたお客様にはガイドブックを無料進呈いたします。

ガイドブックについて

価値あるツールの使い方

研修・トレーニング

ツール操作の研修だけでなく「ウォータフォール型開発」「アジャイル型開発」のシミュレーション研修も提供。

日本随一の生産性向上にも効果のある研修サービスです。

リックソフトからライセンス購入を頂いたお客様には無料招待や割引特典がございます。

研修について