Access Controls -------- • 削除 Accommodation of Mistakes Accommodation of Updates to SBOM Data • リネーム • SBOMデータの誤り訂正/更新の情報 Automation Support Automation Support • サポート対象からSWIDを除外(SPDX, CycloneDXの2種 類へ) Depth Coverage • リネーム • “Coverage”を、ソフトウェアコンポーネント情報の垂直方向 の深さに加えて、水平方向の広がりも含むものとして定義 Distribution and Delivery Distribution and Delivery • 簡素化および明確化 Frequency Frequency • 要約を、更新された専門用語を使用するように書き直し Known Unknowns Known Unknowns • 依存関係の情報が作成者にとって不明である場合と、意 図的に秘匿されている場合とを区別化 (*1)…“Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA SBOM Minimum Elements - Victoria Ontiveros, CISA” (https://osseu2025.sched.com/event/25Vq6/sometimes-sequels-are-good-cisas-update-to-the-2021-ntia-sbom-minimum-elements-victoria-ontiveros-cisa)から転記
of Materials (SBOM) ◦ https://www.cisa.gov/resources-tools/resources/2025-minimum-elements-software-bill-materials- sbom • NTIA 2021 Minimum Elements For a Software Bill of Materials (SBOM) ◦ https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom • Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 ◦ https://osseu2025.sched.com/event/25Vq6/sometimes-sequels-are-good-cisas-update-to-the-2021- ntia-sbom-minimum-elements-victoria-ontiveros-cisa • SPDX SPEC ◦ https://spdx.github.io/spdx-spec/v3.0.1/ • CycloneDX SPEC ◦ https://cyclonedx.org/docs/1.6/json/?utm_source=chatgpt.com 24
SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 1/5 • 2025/8/22にCISAから公開された”2025 Minimum Elements for an SBOM”(Draft) の紹介 ◦ 2021年にNTIA Minimum Elements for an SBOMの改版 ◦ 新規追加された箇所、変更点をPickUpして説明 ◦ 現在Draft版であり、10/3までフィードバック 受付中(CISAのHPから投稿) • SBOMの国際的調和が最優先事項と発言 ◦ 欧州委員会、フランス、BSI(ドイツ)、イタリア と連携 28 Session Link https://osseu2025.sched.com/event/26rRU/keynote-giants-standing-on-the-shoulders-of-daniel- stenberg-founder-and-lead-developer-of-the-curl-project-president-of-the-european-open-source- academy
SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 3/5 • Q: CRAと調和させるためにどのような対策が講じられたか? • A: ◦ SBOMの国際的調和は最優先事項だと考えている。 ▪ ソフトウェア開発者が、国ごとで相反する要件というのに直面しているという話を耳に している。両方の要件を満たすために異なるSBOMをそれぞれ作らないといけないと思 ってしまうのではないか。←避けたい。(コストがふえるから) ◦ 対策として、国際的なパートナーとオープンなコミュニケーションラインをとることを優先 している。(欧州委員会、フランス、BSI(ドイツ)、イタリア) ◦ Global government expoert forumを結成した。2024Springに創立。6week毎に会合を行ってい る。そこで各国は最新情報を共有、収集している。 ◦ つまりEUはCISAのMinimum Elements for an SBOMについて把握していた。 ◦ CRAと矛盾するような内容はない認識と説明。 30
Meeting (see Public Calendar) Collaborate on Slack Contribute on GitHub Become an Organizational Member Keep up to date by subscribing to the OpenSSF Mailing List
Foundation®, & their contributors. The Linux Foundation has registered trademarks and uses trademarks. All other trademarks are those of their respective owners. Per the OpenSSF Charter, this presentation is released under the Creative Commons Attribution 4.0 International License (CC-BY-4.0), available at <https://creativecommons.org/licenses/by/4.0/>. You are free to: • Share — copy and redistribute the material in any medium or format for any purpose, even commercially. • Adapt — remix, transform, and build upon the material for any purpose, even commercially. The licensor cannot revoke these freedoms as long as you follow the license terms: • Attribution — You must give appropriate credit , provide a link to the license, and indicate if changes were made . You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. • No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits.