SBOM管理#
FutureVuls は下記の SBOM 機能を提供しています。
- SBOM ファイルのインポート
- インポートした SBOM ファイルを用いた脆弱性検知(インポート仕様)
- スキャン結果を SBOM 形式でエクスポート
FutureVuls には 「サーバ SBOM」 として管理する方法と 「アプリケーション SBOM」 として管理する 2 つの方法があります。 それぞれ登録手順や脆弱性スキャンの仕様が異なりますので、両者の違いについては「こちら」をご参照ください。
対応環境#
2026年5月末時点で、FutureVuls で対応している SBOM の条件を示します。
標準規格#
| フォーマット | 対応バージョン | 対応形式 |
|---|---|---|
| CycloneDX | v1.4 / v1.5 / v1.6 | JSON / XML |
| SPDX | v2.2 / v2.3 | JSON / tag:value / RDF |
SPDX RDF 形式を利用する場合の注意
SPDX の RDF 形式 は部分的なサポートとなっており、特定のライセンス情報やカスタムプロパティを含む場合に正しくインポートできないことがあります。
SPDX 形式を利用する場合、可能な限り JSON 形式での出力を推奨しています。
SPDX v3 への対応
SPDX v3 の規格で書かれた SBOM の取り込みについては実装を検討中です。
生成ツール#
CycloneDX / SPDX の標準規格に沿った SBOM であれば FutureVuls にインポートできます。
特に以下のツールで生成された SBOM については、サービス側でも生成された SBOM を解析しており、精度を担保して構成情報を取り込めます。
なお、これらに該当しないツールで生成した SBOM では、ツール名を Unknown と判定し、 SBOM を標準仕様に従って解析します。
| 正式対応ツール名 | CycloneDX | SPDX |
|---|---|---|
| Vuls / FutureVuls | ✓ | ✓ |
| Trivy | ✓ | ✓ |
| Syft | ✓ | ✓ |
| Amazon Inspector | ✓ | ✓ |
| SBOM Tool | ー | ✓ |
| CycloneDX Generator (cdxgen) | ✓ | ー |
| cyclonedx-gradle-plugin | ✓ | ー |
| FossID | ✓ | ✓ |
| BlackDuck(SCA機能) | ✓ | ✓ |
未対応のツールについて
2026年5月のリリースから、標準仕様に従った SBOM であれば FutureVuls に取り込んで脆弱性管理ができるようになりました。
「上手く情報が取り込めていないので、より精度を上げて取り込めるようにしたい」といった、新たに SBOM 生成ツールに関して正式な対応を希望する場合は、zendeskより機能要望の旨をご連絡ください。
活用例#
インポートした SBOM のスキャン結果は、他のスキャン方法と共通の以下の機能でも活用できます。
- ライブラリの EOL 管理: ソフトウェア詳細 > EOL / ライブラリEOL横断検索
- OSSライセンス管理: OSSライセンスの表示 / GPL系OSSライセンス横断検索
- マリシャスパッケージの調査: ソフトウェア詳細 > マリシャスパッケージ / マリシャスパッケージ横断検索
- ランサムウェア悪用状況の確認: 脆弱性のランサムウェア悪用チェック機能
さいごに#
FutureVuls では法規制やユーザニーズをもとに継続的に SBOM 関連の機能を強化していきます。 ご要望はzendeskより登録してください。