lunaplus*

CRAではSBOMの作成が求められますが、本文ではフォーマットの細部までは規定されていません。 実務で困るのは「どの項目を、どの形式で、どこまで埋めるか」です。 その具体化に役立つのが、BSIのTR-03183-2です。 法的拘束力はないものの、SPDX/CycloneDXのフィールドに落とし込んだ要件が整理されており、 実装ガイドとして使いやすいドキュメントです。

EUのCRA（Cyber Resilience Act）が発効し、デジタル要素を持つ製品に対して、 開発時だけでなく運用段階まで含めたセキュリティ要件が明確になりました。 その中でもSBOM（Software Bill of Materials）は、脆弱性対応の基礎情報として扱われています。 今回は、CRA本文と関連ガイダンスを見ながら、 「最低限どこまでSBOMを準備すればよいか」を実務目線で整理します。