From 26db01fc8c73b3d2c25b4ab70550857ce1a11978 Mon Sep 17 00:00:00 2001 From: owada-k <77578790+owada-k@users.noreply.github.com> Date: Mon, 7 Jul 2025 18:04:56 +0900 Subject: [PATCH 1/2] Update SBOM-Document-Quality-Guide.ja.md MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 誤字修正 --- .../outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md b/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md index 0215af01..f49dc3ef 100644 --- a/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md +++ b/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md @@ -425,14 +425,14 @@ SBOMの信頼性と改ざん耐性を確保するために、以下の改善策 ##### 5.8.3. 改善策 定義されている関係性を見ると、contains, depensOn, generatesなどの基本的な関係性を記述するものと、リンク形式や利用ツールを示すといった詳細な関係性や付加情報としての関係性を記述するものがある。 -そこで、関係性の記述のうち、次をPrimaryな関係性記述と定め、Primaryな関係性は必ずSBOMに記載することを提案する。 +そこで、関係性の記述のうち、次をPrimaryな関係性記述と定め、Primaryな関係性は必ずSBOMに記載することを推奨する。 - Primaryな関係性の提案 [SPDX / CycloneDX] - コンポーネントの現在の状態を記述するもの - contains/composition-assemblies:~を含む(構成される) - dependsOn/composition-dependencies:~に依存する(を必要とする) - コンポーネントの由来を記述するもの - - generatedFrom*:components-pedigree:~生成された(複製された、改変された、ビルドされた)[* SPDX のVocabulariesには存在しない] + - generatedFrom*/components-pedigree:~生成された(複製された、改変された、ビルドされた)[* SPDX のVocabulariesには存在しない] これらのPrimaryな関係性を用いる事例を以下に示す。 From 74faa94f9aa6a5e6168e2c1cf5b7ecec7b6cda1f Mon Sep 17 00:00:00 2001 From: owada-k <77578790+owada-k@users.noreply.github.com> Date: Tue, 16 Sep 2025 07:49:31 +0900 Subject: [PATCH 2/2] Update SBOM-Document-Quality-Guide.ja.md MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit 「5.8.4. 評価方法」の記述の更新 --- .../outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md | 5 +++-- 1 file changed, 3 insertions(+), 2 deletions(-) diff --git a/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md b/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md index b79a9002..579ea0c4 100644 --- a/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md +++ b/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md @@ -577,8 +577,8 @@ SBOMドキュメントは提供者側の裁量に依存する部分が大きく ##### 5.8.4. 評価方法 -Primaryな関係性の記載漏れが少なくなることが評価指標と考える。 -そこで、Primaryな関係性と等価や類似性のあるな関係性表記だけが記載されており、Primaryな関係性の記載がないことを検出するツールが望まれる。 +Primaryな関係性が十分に記載されているかどうかが評価指標と考える。 +そこで、コンポーネントに対する関係性の記載を調べ、Primaryな関係性の記載のないコンポーネントを検出して、Primaryな関係性の記載を促すツールが望まれる。 また、複数の関係性に使われる表記を見つけ注意を促すツールが望まれる。 ##### 5.8.5. リスクと留意事項 @@ -757,3 +757,4 @@ SPDX 及び CycloneDX の仕様に詳しい人々にレビューをしてもら ##### 5.x.5. リスクと留意事項 - 改善策実施に伴うリスク、例外対応、補足事項 +