![[ 速報 ] Amazon Inspector が SBOM Export を対応しました! #AWSreInforce](https://devio2023-media.developers.io/wp-content/uploads/2023/06/561cdd7188177954d6c6eb0c2dc36eb5.png)
[ 速報 ] Amazon Inspector が SBOM Export を対応しました! #AWSreInforce
こんにちは!AWS事業本部コンサルティング部のたかくに(@takakuni_)です。
アナハイムで開催されている AWS re:Inforce 2023 に参加しています。
先程、 Amazon Inspector の新機能である「SBOM Export」が発表されました。
SBOM とは
SBOM (Software Bill of Materials) とは、アプリケーションで利用しているソフトウェアのコンポーネントやソフトウェアの依存関係をリスト化した資料を指します。
SBOM は主にアプリケーションで利用しているソフトウェアサプライチェーンのリスク管理等の用途で利用されます。
機能概要
今回のアップデートで Amazon Inspector では EC2 (Windows OS は未サポート), Lambda, ECR の SBOM を提供可能になりました。
Amazon Inspector doesn't support exporting SBOM for Windows EC2 instances.
CycloneDx や SPDX の 業界基準でアーティファクトを出力可能で、 Amazon S3 バケットにエクスポートした後、 Amazon Athena や Amazon QuickSight で可視化を行うことができるようです。
マネジメントコンソールを覗いてみた
Inspector コンソールを覗くと、既に SBOM Export が利用可能になっていました。
また、ファイルタイプは Cyclonedx_1_4 (Json) と Spdx_2_3-compatible (Json) が利用可能であることがわかります。
SBOM の取得範囲は以下のフィルターを利用して選択できるようです。
まとめ
速報としては以上になります。
次回、SBOM を実際に試して S3 Export, Amazon Athena で分析できればと思います。
この記事がどなたかの参考になれば幸いです。
AWS 事業本部コンサルティング部のたかくに(@takakuni_)でした!
![[登壇レポート]「はじめてのJAWS-UG はじめてのre:Inforce」という内容でJAWS-UG初登壇しました #jawsugfuk #jawsug](https://devio2023-media.developers.io/wp-content/uploads/2019/05/jaws-ug-logo-1200x630.png){kind=logo}
![[レポート] Developing new findings using machine learning in Amazon GuardDuty #AWSreInforce](https://devio2023-media.developers.io/wp-content/uploads/2023/06/eyecatch_reinforce.jpg)
