こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。
アナハイムで開催されている AWS re:Inforce 2023 に参加しています。
先程、 Amazon Inspector の新機能である「SBOM Export」が発表されました。
SBOM とは
SBOM (Software Bill of Materials) とは、アプリケーションで利用しているソフトウェアのコンポーネントやソフトウェアの依存関係をリスト化した資料を指します。
SBOM は主にアプリケーションで利用しているソフトウェアサプライチェーンのリスク管理等の用途で利用されます。
機能概要
今回のアップデートで Amazon Inspector では EC2 (Windows OS は未サポート), Lambda, ECR の SBOM を提供可能になりました。
Amazon Inspector doesn't support exporting SBOM for Windows EC2 instances.
CycloneDx や SPDX の 業界基準でアーティファクトを出力可能で、 Amazon S3 バケットにエクスポートした後、 Amazon Athena や Amazon QuickSight で可視化を行うことができるようです。
マネジメントコンソールを覗いてみた
Inspector コンソールを覗くと、既に SBOM Export が利用可能になっていました。
また、ファイルタイプは Cyclonedx_1_4 (Json) と Spdx_2_3-compatible (Json) が利用可能であることがわかります。
SBOM の取得範囲は以下のフィルターを利用して選択できるようです。
まとめ
速報としては以上になります。
次回、SBOM を実際に試して S3 Export, Amazon Athena で分析できればと思います。
この記事がどなたかの参考になれば幸いです。
AWS 事業本部コンサルティング部のたかくに(@takakuni_)でした!
2
