<p><br data-mce-bogus="1"></p>
https://www.cisa.gov/sites/default/files/2024-01/Assembling-a-Group-of-Products_508c_0.pdf
CISAが公開。英語。
### CISAとは
>(Certified Information Systems Auditor)とは? CISAは情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして当協会が認定する国際資格で、日本語では「公認情報システム監査人」と称します。
ISACA東京支部/公認情報システム監査人 (CISA: Certified Information Systems Auditor)
### 説明
>CISAが推進する5つのSBOMコミュニティ主導のワークストリームの1つであるSoftware Bill of Materials (SBOM) Tooling & Implementation Working Groupによって作成された製品群の組み立てに関するガイダンスを公開しました。CISAのコミュニティ主導のワーキンググループは、SBOMを前進させ、洗練させ、最終的に採用を促進するための文書とレポートを公開しています。具体的には、ソフトウェア作成者は、多くの場合、顧客にリリースする前に製品を一緒に組み立ててテストする必要があります。これらの製品には、時間の経過とともにバージョンが変更されるコンポーネントが含まれている可能性があるため、追跡する必要があります。このドキュメントは、SBOM で組み立てられた製品のビルドを作成するためのガイドとして機能します。
### SBOMとは
>SBOM(Software Bill of Materials、ソフトウェア部品表)とは、製品に含むソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表です。OSS(Open Source Software)のライセンス管理や脆弱性の管理、ソフトウェアサプライチェーンのリスク管理等の用途で利用されます。