開発のヒント

「SBOM（Software Bill of Materials）」は、ソフトウェア版の「部品表」です。
STM32ファミリのファームウェアパッケージで言えば、「どのミドルウェア」「どのドライバ」「どのオープンソースライブラリ」「どのバージョン」を使っているかを一覧にしたものがSBOMです。

ここ数年でSBOMの必要性が一気に高まっている背景には、サプライチェーン攻撃の増加に加え、欧州の「CRA（Cyber Resilience Act）」のような規制の動きがあります。CRAでは、製品に組み込まれているソフトウェアやその脆弱性を把握し、必要に応じて説明できることが、これまで以上に強く求められる方向に進んでいます。
一方で、オープンソースやサードパーティ製ソフトウェアの不具合・セキュリティ問題は継続的に報告されており、「この問題のある部品ソフトを、自社のどの製品で使っているのか？」をすぐ確認できる仕組みが不可欠になりました。

組み込み機器全般においても、「中で動いているソフトをきちんと把握し、説明できること」が、調達部門や最終顧客から求められつつあります。SBOMは、ソフトウェア構成の“見える化”と規制への備えに役立つ、これからのサイバーセキュリティに欠かせない情報の一つです。

STでは、STM32ファミリをご利用のお客様向けに、SBOMをSTM32Cubeファームウェアパッケージ内に順次整備しています。CycloneDXフォーマットでの提供により、脆弱性管理ツールとの連携やセキュリティ確認をサポートしています。