SBOMの大規模実態調査に基づくソフトウェア透明性評価の検討

ソフトウェアサプライチェーン内での信頼性の低下や悪意のあるコンポーネントの挿入は，脆弱性や悪性コードがサプライチェーンの下流に広く伝播するなど重大なセキュリティリスクを引き起こす．そのため，ソフトウェアの透明性確保が重要であり，ソフトウェアの透明性を表現する情報としてSBOMが注目されてきている．しかし，透明性を担保するためのSBOMの品質が明らかではなく，ソフトウェアの透明性を評価する指標の議論はまだされていない．本研究では，既存のSBOMの実態調査を通じて，ソフトウェアの透明性を評価するための適切な指標を検討する．ソフトウェアの透明性を評価可能にするための情報源となるSBOMの品質を調査し，実データに基づくSBOMの表現における課題を明らかにする．さらに，ソフトウェアの透明性を表す指標について検討し，指標の分析および他の指標と関係を明らかにした．

The decrease in reliability within the software supply chain and the injection of malicious components can lead to significant security risks, such as the widespread propagation of vulnerabilities and malicious code downstream in the supply chain. Therefore, ensuring software transparency is crucial, and the SBOM has been gaining attention as the expression to represent software transparency. However, the quality of SBOM is not yet clear, and there has been no discussion about criteria for evaluating software transparency. In this paper, through an investigation of existing SBOM practices, we examine appropriate indicators for evaluating software transparency. We investigate the quality of SBOM, which serves as a source of information to enable the assessment of software transparency, and highlight the challenges in representing SBOM based on real-world data. Furthermore, we discuss indicators for representing software transparency and analyze these indicators while clarifying their relationships with other indicators.