Amazon Inspector SBOM Generator ライセンスコレクション

Amazon Inspector SBOM Generator で、ソフトウェア部品表 (SBOM) のライセンス情報を追跡できます。オペレーティングシステムとプログラミング言語全体でサポートされているパッケージからライセンス情報を収集します。生成された SBOM に標準化されたライセンス表現が含まれているため、ライセンス上の義務を把握できます。

ライセンス情報を収集する

コマンドの例

次の例は、ディレクトリからライセンス情報を収集する方法を示しています。



./inspector-sbomgen directory --path /path/to/your/directory/ --collect-licenses

SBOM コンポーネントの例

次の例は、生成された SBOM のコンポーネントエントリを示しています。


"components": [   
    {
      "bom-ref": "comp-2",
      "type": "application",
      "name": "sample-js-pkg",
      "version": "1.2.3",
      "licenses": [
        {
          "expression": "Apache-2.0 AND (MIT OR GPL-2.0-only)"
        }
      ],
      "purl": "pkg:npm/sample-js-pkg@1.2.3",
    }
  ]

サポートされているパッケージ

ライセンス収集では、次のプログラミング言語とオペレーティングシステムパッケージがサポートされています。

ターゲット	パッケージマネージャー	ライセンス情報ソース	タイプ
Alma Linux	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
Amazon Linux	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
CentOS	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
Fedora	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
OpenSUSE	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
Oracle Linux	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
Photon OS	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
RHEL	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
Rocky Linux	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
SLES	RPM	/usr/lib/sysimage/rpm/rpmdb.sqlite /usr/lib/sysimage/rpm/Packages /usr/lib/sysimage/rpm/Packages.db /var/lib/rpm/rpmdb.sqlite /var/lib/rpm/Packages /var/lib/rpm/Packages.db	OS
Alpine Linux	APK	`/lib/apk/db/installed`	OS
Chainguard	APK	`/lib/apk/db/installed`	OS
Debian	DPKG	`/usr/share/doc/*/copyright`	OS
Ubuntu	DPKG	`/usr/share/doc/*/copyright`	OS
Node.js	Javascript	`node_modules/*/package.json`	プログラミング言語
PHP	Composer パッケージ	`composer.lock` `/vendor/composer/installed.json`	プログラミング言語
Go	Go	`LICENSE`	プログラミング言語
Python	Python/Egg/Wheel	`.dist-info/METADATA` `.egg-info` `.egg-info/PKG-INFO`	プログラミング言語
Ruby	RubyGem	`*.gemspec`	プログラミング言語
Rust	crate	`Cargo.toml`	プログラミング言語

ライセンス表現の標準化

SPDX のライセンス表現形式は、オープンソースソフトウェアに見られるライセンス条件を正確に表現します。Amazon Inspector SBOM Generator は、このセクションで説明するルールにしたがって、すべてのライセンス情報を SPDX ライセンス表現に標準化します。このルールにより、ライセンス情報間の一貫性と互換性が実現します。

SPDX 短縮形式識別子マッピング

すべてのライセンス名は SPDX 短縮形式識別子にマッピングされます。例えば、MIT License は MIT に短縮されます。

複数のライセンスの組み合わせ

複数のライセンスを AND 演算子と組み合わせることができます。次のコマンドの例は、コマンドをフォーマットする方法を示しています。



MIT AND Apache-2.0

カスタムライセンスプレフィックス

カスタムライセンスには LicenseRef がプレフィックスとして付与され、 LicenseRef-CompanyPrivate のようになります。

カスタム例外プレフィックス

カスタム例外には AdditionRef- がプレフィックスとして付与され、 AdditionRef-CustomException のようになります。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

SSL/TLS 証明書スキャン

パッケージ URL