Discussion for CISA 2025 Minimum Elements for an SBOM

Transcript

1. Discussion for CISA 2025 Minimum Elements for an SBOM September

   26, 2025 Facilitator : Akihiko Takahashi from Fujitsu ltd Copyright © 2025 The Linux Foundation®. All rights reserved. The Linux Foundation has registered trademarks and uses trademarks.

2. アンケート リモートの方も挙手ボタンをお願いします “SBOM” 聞いたことある方 2

3. アンケート リモートの方も挙手ボタンをお願いします “CISA 2025 Minimum Elements for an SBOM” 聞いたことある方

   3

4. アンケート リモートの方も挙手ボタンをお願いします “CISA 2025 Minimum Elements for an SBOM” 読んだ方

   4 少し覗いてみた、流し読みも 読んだとカウントしてください。

5. アンケート リモートの方も挙手ボタンをお願いします “CISA 2025 Minimum Elements for an SBOM” 説明できる方

   5

6. 最初の方で手を下げた方、安心してください • まずは、このDiscussionセッションで雰囲気をつかんでみてください。 6

7. 最初の方で手を下げた方、安心してください • まずは、このDiscussionセッションで雰囲気をつかんでみてください。 • LF Japan Community Days 大阪(10/21(火), 10/22(水))に参加しましょう！！

   ◦ ※手を下げなかった方も是非参加おまちしてます！！ ◦ Link : https://www.linuxfoundation.jp/events/2025/08/lf-japan-community-days-2025-in-osaka/ 7

8. What is CISA 2025 Minimum Elements for an SBOM? 8

   • 一言でいうと、 SBOMの世界標準仕様になる可能性の高いドキュメント • 2021年にリリースされた”NTIA 2021 Minimum Elements for an SBOM”の続編 • 2025/8/22リリース • 2025/9/26現在、このドキュメントはDraft版 • 2025/10/3までCISAはパブリックコメントを受付中 • CISA Victoria氏はOSSEU2025 (2025/8/26)にて、 SBOMの国際的調和が最優先事項と述べた

9. How to get CISA 2025 Minimum Elements for an SBOM

   9

10. 少し中をみてみよう • https://www.cisa.gov/resources-tools/resources/2025-minimum-elements- software-bill-materials-sbom 10

11. Updated Data Fields (2021->2025)(*1) 11 2021 2025 Summary Author of

    SBOM Data SBOM Author • リネーム Component Name Component Name • 複数の項目を登録できるように定義 Version of the Component Component Version • リネーム • “Software Producer”がバージョンを提供しない場合、代 わりに“SBOM Author”がファイルの作成日を指定するこ とが可能 Dependency Relationship Dependency Relationship • すべてのバックポートされたソフトウェアおよびフォークさ れたソフトウェアについて、来歴（pedigree）を要求 Other Unique Identifiers Software Identifiers • リネーム • 少なくとも1つのソフトウェア識別子を含める必要がある • OmniBORへの参照を追加 Supplier Name Software Producer • リネーム Timestamp Timestamp • ISO8601に準拠する必要があることを明記 (*1)…“Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA SBOM Minimum Elements - Victoria Ontiveros, CISA” (https://osseu2025.sched.com/event/25Vq6/sometimes-sequels-are-good-cisas-update-to-the-2021-ntia-sbom-minimum-elements-victoria-ontiveros-cisa)から転記

12. New Data Fields (2021->2025)(*1) 12 2021 2025 Summary -------- Component

    Hash • ソフトウェアコンポーネントのハッシュ値から生成された cryptographic value(暗号学的値) -------- License • ソフトウェアコンポーネントのライセンス -------- Tool Name • “SBOM Author”がSBOMを生成するために使用したツー ル名 -------- Generation Context • “Software Producer”がSBOMを生成した時点での相対的 なソフトウェアライフサイクルフェーズと利用可能なデータ （ビルド前、ビルド中、ビルド後） (*1)…“Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA SBOM Minimum Elements - Victoria Ontiveros, CISA” (https://osseu2025.sched.com/event/25Vq6/sometimes-sequels-are-good-cisas-update-to-the-2021-ntia-sbom-minimum-elements-victoria-ontiveros-cisa)から転記

13. Changes to Practices and Processes (2021->2025)(*1) 13 2021 2025 Summary

    Access Controls -------- • 削除 Accommodation of Mistakes Accommodation of Updates to SBOM Data • リネーム • SBOMデータの誤り訂正/更新の情報 Automation Support Automation Support • サポート対象からSWIDを除外（SPDX, CycloneDXの2種 類へ） Depth Coverage • リネーム • “Coverage”を、ソフトウェアコンポーネント情報の垂直方向 の深さに加えて、水平方向の広がりも含むものとして定義 Distribution and Delivery Distribution and Delivery • 簡素化および明確化 Frequency Frequency • 要約を、更新された専門用語を使用するように書き直し Known Unknowns Known Unknowns • 依存関係の情報が作成者にとって不明である場合と、意 図的に秘匿されている場合とを区別化 (*1)…“Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA SBOM Minimum Elements - Victoria Ontiveros, CISA” (https://osseu2025.sched.com/event/25Vq6/sometimes-sequels-are-good-cisas-update-to-the-2021-ntia-sbom-minimum-elements-victoria-ontiveros-cisa)から転記

14. Let’s discussion

15. Discussion時のお願い • 会場の方へ ◦ リモートの方々に聞こえるようにするために、マイクを使用して発言を お願いします。 • リモートの方へ ◦ コメントを書き込む際に、発言が難しい場合、その旨記載いただけます

    と助かります。 15

16. Theme select • Theme : Software Producer ◦ OpenSSF SBOM

    EveryWhere SIG内で、 一番意見が分かれた項目。 • Theme : Coverage and Known Unknowns ◦ 様々な場所で度々議論されている 依存関係について。 • Theme : Free Discussion 16

17. Theme : Software Producer Software Producer (Major Update) 定義: コンポーネントを「作る／定義する／識別する」主体の名称。

    Software Producerフィールドには、そのソフトウェア・コンポーネントを製造（起源・製造者）した主体 を人が読める文字列で記載する。「Software Producer」とは当該コンポーネントのoriginator（起源主 体）またはmanufacturer（製造者）を指す。組織はこの要素を使って、コンポーネントのプロデューサ に関する情報や、セキュリティ懸念の連絡先の特定にも役立てられる。複数エントリの記載を許容 する。 オープンソースでもプロデューサは重要だが、プロジェクトの開発・配布・保守の流儀により命名慣 行が異なる。エコシステムによってはパッケージマネージャでSupplier（供給者）命名の慣例がある が、そうでない場合は元のプロジェクト名やメンテ組織の名称を用いる。明確なプロデューサが示せ ない場合は、unknown provenance（出自不明）であることをSBOM Authorが明示し、追跡不能である 旨を認める。 本フィールドは2021年NTIA「Supplier Name」を置き換える。Supplier NameはDistributor（配布者）と の境界が曖昧になりやすかった。Producerに変えることで曖昧さは減るが、ソフトウェアを作る主体 の世界的なコンセンサス手法が確立されるまでは一定の曖昧さは残る。 17

18. Theme : Software Producer 薪をくべる(1) そもそも”Software Producer”を支持する？ • CISA 2025支持派（Software

    Producer） • NTIA 2021支持派（Supplier Name） • 分割派（Original Producer / Supplier / Distributor / …） 18 様々な意見が飛び交いそしてみんな折れない ->まとまらない ・機械的にOriginal, Supplier, Distributorをわかるようにしたい ・分割してもどうせ意味が似ているからだったら1つでいい ・要素を増やせばそれだけ実装コスト、管理コストもあがる ・調査の過程で、どこから改変したのかわかるようにしたい なぜ炎上 したか

19. Theme : Software Producer 薪をくべる(2) その他、Discussion Point A. 再配布・フォーク時に誰を Producer

    とするか B. 複数エントリの扱い（優先順・識別子付与・表示順の規律） C. unknown provenance の適用範囲と頻度 19

20. Theme : Software Producer 薪をくべる(3) ユースケース(使う側/作る側)にあてはめてみる • Usecase1. ディストリビュータがパッケージ化 ◦

    上流AのソフトをDebianがパッケージ化 -> ProducerはA? ◦ DebianもProducerになるのか? (or SBOM Authorだけ?) • Usecase2. 企業Bのフォーク ◦ 上流Aを企業Bが改造して配布->ProducerはBとAを併記? ◦ AはOriginal Producerとして別フィールド? • Usecase3. 調達や脆弱性対応 ◦ 改変責任の所在は?Producerから読み取れるか? 20 作る側 使う側 作る側

21. Theme : Coverage and Known Unknowns Coverage (Major Update) SBOM（ソフトウェア部品表）には、対象となるソフトウェアを構成するすべてのコンポーネント（推移的依存関係を

    含む）に関する情報を含める必要があります。深さに最低限の制限はありません。ソフトウェアコンポーネントが複 数存在し、メタデータに違いがある場合、それぞれを適切な依存関係とともに個別に記載しなければなりません。 SBOMにはコード以外のファイルを含める必要はありませんが、セキュリティに関連するファイル（例：設定ファイ ル）は含めることができます。SBOMは包括的なコンポーネント一覧を提供し、受領者がリスクベースの判断を行え るようにするべきです。 たとえば脆弱性管理の観点では、SBOMの受領者は、脆弱性が報告されたコンポーネントがSBOMに記載されて いない場合、その脆弱性は自分には影響しないと結論づけられる必要があります。 Known Unknowns (Major Update) SBOM（ソフトウェア部品表）がすべての依存関係を記載していない場合、SBOM作成者は「既知の未知」を明示的 に特定しなければなりません。これにより、依存関係が存在しないコンポーネントと、依存関係の一覧が不完全な コンポーネントとの明確な区別が可能になります。 SBOMのデフォルト解釈は「データが不完全である」とすべきです。SBOM作成者は、依存関係の情報が作成者に とって不明である場合と、意図的に秘匿されている場合とを区別しなければなりません。SBOM作成者は、受領者 が秘匿されたセキュリティ関連情報について問い合わせるためのプロセスを持つべきです。 重要な依存関係が秘匿されている場合、組織はそのSBOMを不完全と見なす可能性があります。SBOM作成者 は、未知または秘匿されたコンポーネントを、特定の要素に対する単なる不明な値とは区別できる方法で示さなけ ればなりません。 21

22. Theme : Coverage and Known Unknowns 薪をくべる • 依存関係の範囲をどこまでにするのが適切か ◦

    CRAでは？ ◦ BSI (TR-03183)では？ 22

23. Theme : Free Discussion 23

24. Reference • CISA 2025 Minimum Elements for a Software Bill

    of Materials (SBOM) ◦ https://www.cisa.gov/resources-tools/resources/2025-minimum-elements-software-bill-materials- sbom • NTIA 2021 Minimum Elements For a Software Bill of Materials (SBOM) ◦ https://www.ntia.gov/report/2021/minimum-elements-software-bill-materials-sbom • Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 ◦ https://osseu2025.sched.com/event/25Vq6/sometimes-sequels-are-good-cisas-update-to-the-2021- ntia-sbom-minimum-elements-victoria-ontiveros-cisa • SPDX SPEC ◦ https://spdx.github.io/spdx-spec/v3.0.1/ • CycloneDX SPEC ◦ https://cyclonedx.org/docs/1.6/json/?utm_source=chatgpt.com 24

25. Reference • Cyber Resilience Act ◦ https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act • BSI TR-03183:

    Cyber Resilience Requirements for Manufacturers and Products ◦ https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Standards-und- Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr03183/TR-03183_node.html 25

26. Thank You

27. 27 Appendix 27

28. Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA

    SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 1/5 • 2025/8/22にCISAから公開された”2025 Minimum Elements for an SBOM”(Draft) の紹介 ◦ 2021年にNTIA Minimum Elements for an SBOMの改版 ◦ 新規追加された箇所、変更点をPickUpして説明 ◦ 現在Draft版であり、10/3までフィードバック 受付中(CISAのHPから投稿) • SBOMの国際的調和が最優先事項と発言 ◦ 欧州委員会、フランス、BSI(ドイツ)、イタリア と連携 28 Session Link https://osseu2025.sched.com/event/26rRU/keynote-giants-standing-on-the-shoulders-of-daniel- stenberg-founder-and-lead-developer-of-the-curl-project-president-of-the-european-open-source- academy

29. Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA

    SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 2/5 • CISAから出されたこのドキュメントは、CRAと異なり、SBOMについて義務付 けるものではない。アドバイス、ベストプラクティスを提供するもの • 会場の人の入り：約40人/100人 • セッション後、場外で登壇者を円形に囲んで追加の質問会が繰り広げられる。 29

30. Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA

    SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 3/5 • Q: CRAと調和させるためにどのような対策が講じられたか？ • A: ◦ SBOMの国際的調和は最優先事項だと考えている。 ▪ ソフトウェア開発者が、国ごとで相反する要件というのに直面しているという話を耳に している。両方の要件を満たすために異なるSBOMをそれぞれ作らないといけないと思 ってしまうのではないか。←避けたい。（コストがふえるから） ◦ 対策として、国際的なパートナーとオープンなコミュニケーションラインをとることを優先 している。（欧州委員会、フランス、BSI(ドイツ)、イタリア） ◦ Global government expoert forumを結成した。2024Springに創立。6week毎に会合を行ってい る。そこで各国は最新情報を共有、収集している。 ◦ つまりEUはCISAのMinimum Elements for an SBOMについて把握していた。 ◦ CRAと矛盾するような内容はない認識と説明。 30

31. Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA

    SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 4/5 • Q: CISA(2025)がNTIA(2021)を上書きするのか？ • A: ◦ NTIAのMinimum Elementsを更新するものである。 • Q:このドキュメントの更新頻度については？ • A: ◦ 明確な答えはない。 ◦ 変更箇所が多く、更新が必要だと判断した時に更新すると思う。 ◦ 単に新しい更新情報を提供するためだけには、更新は行わない。 ◦ 今回改版に踏み切ったのは、SBOMに携わる人が増えてきて改版に踏み切った方がよいと考えたから。 • Q: 正式版はいつでる？ • A: ◦ このドキュメントについて自信はあるので、1年はかからないと思う。 31

32. Sometimes Sequels Are Good: CISA’s Update To the 2021 NTIA

    SBOM Minimum Elements - Victoria Ontiveros, CISA in OSSEU2025 5/5 • Q: CRAと同様の要件が米国でも導入されることはあるのか？ • A: ◦ CRAでは、ソフトウェア開発者に対してSBOMの作成、保有を義務付けている。 ◦ 欧州委員会とCISAでは、ポジションが異なる。CISAとしては、あらゆるアドバイスを提供す る、ベストプラクティスをだすというポジション。 32

33. Ways to Participate Join a Working Group/Project Come to a

    Meeting (see Public Calendar) Collaborate on Slack Contribute on GitHub Become an Organizational Member Keep up to date by subscribing to the OpenSSF Mailing List

34. Engage with us on social media X @openssf LinkedIn OpenSSF

    Mastodon social.lfx.dev/@openssf YouTube OpenSSF Facebook OpenSSF

35. Legal Notice Copyright © Open Source Security Foundation®, The Linux

    Foundation®, & their contributors. The Linux Foundation has registered trademarks and uses trademarks. All other trademarks are those of their respective owners. Per the OpenSSF Charter, this presentation is released under the Creative Commons Attribution 4.0 International License (CC-BY-4.0), available at <https://creativecommons.org/licenses/by/4.0/>. You are free to: • Share — copy and redistribute the material in any medium or format for any purpose, even commercially. • Adapt — remix, transform, and build upon the material for any purpose, even commercially. The licensor cannot revoke these freedoms as long as you follow the license terms: • Attribution — You must give appropriate credit , provide a link to the license, and indicate if changes were made . You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. • No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the license permits.