ソフトウェア部品表ワークスペースでのライセンスの分類とコンポーネントライセンスの解決

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:5分

    • ライセンスを分類してコンポーネントに解決 (照合) するか、 SBOM ワークスペースのライセンス管理モジュールでライセンスを作成します。ライセンスを分類してコンポーネントに一致させることで、 SBOM ファイルにアップロードするプロプライエタリ、オープンソース、ベンダー提供のソフトウェア コンポーネントのライセンス コンプライアンスを判断できます。

    ライセンスデータとサードパーティソフトウェア

    組織が独自のソフトウェアアプリケーションを構築するが増えるにつれて、オープンソースコンポーネントとベンダーが提供するソフトウェアを使用しています。サードパーティおよびオープンソースのコンポーネントを使用すると、ソフトウェアプロジェクトを迅速に作成してリリースするための多くの利点がありますが、これらのコンポーネントを使用するとライセンスのリスクが伴います。

    • オープンソースおよびベンダー提供のソフトウェアコンポーネントは、他のコンポーネントに依存することがあり、各コンポーネントには独自のライセンス要件がある場合があります。
    • アプリケーションのコンポーネントとソフトウェアのライセンス条件に準拠していない場合、内部ポリシーと規制ライセンス要件に違反するコードを誤って出荷する可能性があります。

    ライセンス管理モジュール

    SBOM ワークスペースのライセンス管理モジュールでは、次のタスクを実行できます。
    • SBOMファイルとともにアップロードするコンポーネントに対して、ライセンスを必要とするライセンスを分類します。
    • 分類した各ライセンスを特定のコンポーネントに解決します。
    • 使用しているコンポーネントの何パーセントがコンプライアンス違反であるかを、ホームページのデータ可視化で確認します。この情報を使用して、全体的なセキュリティ体制と潜在的なリスクエクスポージャーを判断できます。
    アップロードする SBOM ファイルにライセンス情報が含まれている場合、各 SBOM アップロードで一意のライセンスが確認されると、ライセンスデータベースが自動的に拡張されます。各 SBOM アップロードで、アップロードされたライセンスのデータベースを構築し、必要に応じて SBOM Workspace のライセンス管理モジュールで分類できます。ライセンスのインベントリを作成し、ライセンスを次のいずれかのカテゴリに分類した後、コンポーネントに割り当てることができるようにします。
    • 許可
    • Restricted (制限付き)
    • 禁止
    • 未分類

    法務担当者、ライセンスマネージャー、コンプライアンス、および規制マネージャーは、ライセンス管理モジュールでタスクを実行します。

    アップロードされたライセンスデータの表示

    コンポーネントとともにアップロードしたライセンス情報を SBOM ワークスペースで表示するには、次のオプションがあります。
    • 次のように移動する。 ワークスペース > SBOM ワークスペース > コンポーネント.
      [コンポーネント] ページの [コンポーネントのライセンス分類] カードには、次のカテゴリに対する全体的なライセンスコンプライアンスが可視化されて表示されます。
      Category (カテゴリ) 説明
      禁止 ライセンスの使用は許可されていません。
      分類が必要 ライセンスはまだ分類されておらず、レビューが必要です。
      許可 ライセンスの使用は制限なしで許可されます。
      Restricted (制限付き) 特定のユースケースでは、ライセンスの使用は許可されていません。

      このスナップショットでは、ライセンス管理モジュールに入力した分類と解決済みのライセンス情報を使用して、全体的なライセンスコンプライアンスを計算します。

      このリストからコンポーネントレコードを選択すると、[ステータス] フィールドに他の情報とともにコンポーネントのライセンス情報を表示できます。

    • または、 ワークスペース > SBOM ワークスペース > ライセンス管理 > ライセンスの分類.
      このページでは、アップロードした SBOM ファイルから検出された一意のライセンスの合計数を追跡します。また、ページの上部にある次のカテゴリのカードでもフィルタリングされます。
      • 未分類:ライセンスにはレビューと分類が必要です。
      • 禁止:ライセンスの使用は許可されていません。
      • 制限付き:特定のユースケースではライセンスは許可されません。
      • 許可:ライセンスの使用は制限なしで許可されます。
      • すべてのライセンス:ライセンスの合計数。
      組織内のすべてのコンポーネントが、このページに記載されているいずれかのライセンスを使用しています。SBOM アップロードから新しいライセンスが検出されると、レコードが作成されて SBOM ライセンス [sn_sbom_license] テーブルに保存され、このリストに追加されます。デフォルトの分類は [分類が必要] です。このステータスのライセンスレコードは、全体的なライセンスコンプライアンスを正確に計算するために、コンポーネントに解決 (照合) する前に確認して分類する必要があります。

      ライセンスの分類方法については、「 インポートされたライセンスを ソフトウェア部品表 ワークスペースに分類」を参照してください。

    ロール

    新しいライセンスは、sn_sbom_response.managelicense ロールを持つユーザーが分類する必要があります。このユーザーは、アップロードされたライセンス情報を表示し、許可されているライセンスと禁止されているライセンスを決定します。このロールを持つユーザーは、sn_sbom_response.licenseresolver ロールを持っていない限り、コンポーネントライセンス解決モジュールを表示できません。

    分類後、全体的なライセンスコンプライアンスを判断できるように、sn_sbom_response.licenseresolver ロールを持つユーザーがライセンスを解決する必要があります。このユーザーは、ライセンスをコンポーネントに解決します。このロールを持つユーザーは、sn_sbom_response.managelicense ロールを持っていない限り、ライセンス分類モジュールを表示できません。

    新しいライセンス情報の分類は進行中のプロセスです。[未分類] カードに表示される合計数は低く抑えることをお勧めします。ライセンスマネージャーは、SBOM ファイルをアップロードした後に、数日ごとに分類が必要なライセンスを確認することをお勧めします。

    ライセンス リゾルバーとして、数日ごとに更新された分類されたライセンスを確認することをお勧めします。