リポジトリのソフトウェア部品表のエクスポート

リポジトリのソフトウェア部品表、つまり、SBOM を依存関係グラフからエクスポートすることができます。 SBOM を使用すると、オープンソースの使用状況に対する透明性が得られ、サプライ チェーンの脆弱性を見つけるのに役立ち、サプライ チェーンのリスクが軽減されます。

この機能を使用できるユーザーについて

Anyone can export the dependency graph of a repository as a software bill of materials. The SBOM export will contain a list of the dependencies that are used in the repository.

この記事の内容

依存関係グラフと SBOM のエクスポートについて

依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイルと、依存関係送信 API (ベータ) を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:

  • リポジトリが依存している依存関係、エコシステム、パッケージ
  • リポジトリに依存する対象、リポジトリ、パッケージ

依存関係ごとに、ライセンス情報と 脆弱性の重大度を確認できます。 検索バーを使用して、特定の依存関係を検索することもできます。 依存関係は、脆弱性の重大度によって自動的に並べ替えられます。

業界標準の SPDX 形式を使用して、リポジトリの依存関係グラフの現在の状態をソフトウェア部品表 (SBOM) としてエクスポートできます。

  • GitHub UI を使用して
  • REST API を使用して

SBOM は、プロジェクトの依存関係と関連情報 (バージョン、パッケージ識別子、ライセンスなど) の、機械で読み取り可能な正式なインベントリです。 SBOM は、次の方法でサプライ チェーンのリスクを軽減するのに役立ちます。

  • リポジトリで使用される依存関係に関する透明性を提供する
  • プロセスの早い段階で脆弱性を特定できるようにする
  • コードベースに存在する可能性があるライセンス コンプライアンス、セキュリティ、または品質の issue に関する分析情報を提供する
  • さまざまなデータ保護基準をより適切に遵守できるようにする

会社が大統領令 14028 に従って米国連邦政府にソフトウェアを提供する場合は、製品の SBOM を提供する必要があります。 また、監査プロセスの一環として SBOM を使用し、それらを使って規制および法的要件に準拠することもできます。

UI からのリポジトリのソフトウェア部品表のエクスポート

  1. GitHub.com で、リポジトリのメイン ページへ移動します。

  2. リポジトリ名の下にある [分析情報] をクリックします。

    リポジトリのメイン ページのスクリーンショット。 水平ナビゲーション バーでは、グラフ アイコンと [分析情報] というラベルが付いたタブが、濃いオレンジ色の枠線で囲まれています。

  3. 左側のサイドバーで、 [Dependency graph] (依存関係グラフ) をクリックします。

  4. [依存関係] タブの右上にある [SBOM のエクスポート] をクリックして、ブラウザーからダウンロードするための SBOM ファイルを生成します。

REST API を使ったリポジトリのソフトウェア部品表のエクスポート

REST API を使ってリポジトリの SBOM をエクスポートする場合については、「ソフトウェア部品表 (SBOM) 用の REST API エンドポイント」を参照してください。