SBOM
>SBOMとは、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストである。SBOMには、ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開発者等の情報が含まれ、OSSだけではなくプロプライエタリソフトウェアに関する情報も含めることができる。また、SBOMをソフトウェアサプライチェーンの上流から下流に向かって組織を越えて相互共有することで、ソフトウェアサプライチェーンの透明性を高めることが期待されており、特に、コンポーネントの脆弱性管理の課題に対する一つの解決策として期待されている。
p.20
from 2024/06/12
セールスの電話が来たらしいが、本日は一日中会議でいないということになった
会社名で検索してみたところ「設計資産の見える化」を目指す会社のようだ
階層型BOMとか、AIで設計資料管理だとか、この会社だけでなく他でもよく見かけるのだが、ものづくり系中小企業、中堅企業向けのコンサルで流行っているのだろうか
「SBOMとは」まで読ませていただきました。もともとBOMは大体理解していましたが、ソフトウェアの世界でも同じような状況だと知ることができ、大変ありがたいです
ハードウェアの世界って昔からBOMみたいなものはあるのかなと思っていましたが、ちゃんと管理しよう、みたいなのは最近の話なんですかね?
SBOMの話はハードウェアのBOMをソフトウェアにも、みたいな流れなのかなと思っていた
会社や事業形態で全然違うだろうな、という気持ち
このページを読む限り、最初は回路関係の生産管理に適用され、そこから広がった感じがするけど、そこから先の歴史がいまいち見てこなくてもどかしい
ハードウェアの世界は子会社や関連会社に部品を発注したりする関係上BOM的なものはないと仕事が回らないようなイメージがあります
+1
一方ソフトウェアの世界では、特にOSSのライブラリなどは、勝手に使っていても誰かに断りを入れたり、金銭の授受があるわけではないので、そういうものがなくても一見機能する
まぁ脆弱性検査やライセンスの問題があり、後から「何使って作ったの?!」ってなるわけで、それが今起きているのかなという理解
+1
機械設計の世界では、製品を構成する部品表が存在するけど、その部品表は製品ー部品ー図面を結びつけるためのものでBOMと言えなくもないところがややこしくさせている気がする
部品表がなければ組立が難しいので存在はする、だけど部品に対する付加情報がBOMのように揃えられて管理しているわけではないから、例えばとある部品の材料が手に入らなくなった、どうすればいい、といった状況でもBOMで管理していれば代替品の検討に入りやすいけど、BOMのような管理されていなければ1から探し始めなければならず、効率が悪い
2000年に入ってから辺りからCAD、3DCADが一般化して機械設計にも適用され始めた辺りからハードウェアの世界のように管理しよう、BOMを導入しようという話が出てき始めたけど、やはり機械畑で育った人間にとってはITとか情報管理とかデータ入力とかパソコン操作とかにアレルギー反応を示すので、なかなか浸透せず
そこにきてさらに昨今の人手不足により、ものづくり系の中小企業へ向けてBOMの導入を勧める動きが流行っているのかなというイメージ
ハードウェアという雑な解像度だったが、機械設計と、回路関係でも(当然だが)全然事情が違うんですね
機械設計の場合、物の違いは「見れば分かるだろ」と突っぱねてデータ上の管理を避けてきた人がいる気がする。回路系だと例えばチップコンデンサとか、見ただけで分かるわけ無いだろ、という部品が大量に存在するからデータ管理の重要度が最初から高かったのだと思う
セカンドソースとかの話を思い出した、半導体業界はそのへん厳しいんだろうなぁというイメージ
大手IT企業を退職した人がこういったコンサル会社の社長をやっている、イメージ