依存関係グラフと SBOM のエクスポートについて
依存関係グラフは、リポジトリに格納されているマニフェストおよびロック ファイルと、Dependency submission API (ベータ) を使用してリポジトリに送信された依存関係の概要です。 それぞれのリポジトリについて、以下が表示されます:
-
リポジトリが依存している依存関係、エコシステム、パッケージ
-
リポジトリに依存する対象、リポジトリ、パッケージ
For each dependency, you can see the license information and vulnerability severity. You can also search for a specific dependency using the search bar. Dependencies are sorted automatically by vulnerability severity.
業界標準の SPDX 形式を使用して、リポジトリの依存関係グラフの現在の状態をソフトウェア部品表 (SBOM) としてエクスポートできます。
SBOM は、プロジェクトの依存関係と関連情報 (バージョン、パッケージ識別子、ライセンスなど) の、機械で読み取り可能な正式なインベントリです。 SBOM は、次の方法でサプライ チェーンのリスクを軽減するのに役立ちます。
- リポジトリで使用される依存関係に関する透明性を提供する
- プロセスの早い段階で脆弱性を特定できるようにする
- コードベースに存在する可能性があるライセンス コンプライアンス、セキュリティ、または品質の issue に関する分析情報を提供する
- さまざまなデータ保護基準をより適切に遵守できるようにする
会社が大統領令 14028 に従って米国連邦政府にソフトウェアを提供する場合は、製品の SBOM を提供する必要があります。 また、監査プロセスの一環として SBOM を使用し、それらを使って規制および法的要件に準拠することもできます。
UI からのリポジトリのソフトウェア部品表のエクスポート
-
GitHub.com で、リポジトリのメイン ページへ移動します。 1. リポジトリ名の下にある [分析情報] をクリックします。
-
左側のサイドバーで、 [Dependency graph] (依存関係グラフ) をクリックします。
-
[依存関係] タブの右上にある [SBOM のエクスポート] をクリックして、ブラウザーからダウンロードするための SBOM ファイルを生成します。