講演名 | 2022-07-30 Debianパッケージに対する依存関係を含むSPDXファイルの自動生成ツール 田邉 傑士(阪大), 眞鍋 雄貴(福公大), 神田 哲也(阪大), 井上 克郎(南山大), |
---|---|
PDFダウンロードページ | PDFダウンロードページへ |
抄録(和) | 近年,サプライチェーン上のリスクを管理するためSBoM(Software Bill of Materials)の導入が進んでいる.SPDX(Software Package Data Exchange)は主要なSBoMの仕様の1つであり,利用者にライセンスを遵守させることを目的の一つとして作成された. 他方,ライセンスを遵守するには依存関係を理解しておくことが重要である. しかし現状,依存関係を含めたSPDXファイルを自動生成するツールは見受けられない.そこで本研究ではDebianパッケージを対象に依存関係の記述を含めたSPDXファイルを自動生成するツールを開発した.その結果,依存関係の記述を含んだ上でSPDXの要件を正しく満たすSPDXファイルの生成に成功した.本論文ではその手法と生成結果について示す. |
抄録(英) | In recent years, the Software Bill of Materials (SBoM) has been increasingly adopted to manage risks in the supply chain, and the Software Package Data Exchange (SPDX) is one of the main SBoM specifications, created to ensure that users comply with licenses. On the other hand, it is important to understand the dependencies in order to comply with the license. Currently, however, there are no tools that automatically generate SPDX files including dependencies. Therefore, we developed a tool to automatically generate SPDX files including dependency descriptions for Debian packages. As a result, we succeeded in generating SPDX files that include dependency descriptions and satisfy the SPDX requirements. This paper describes the method and results of the generation. |
キーワード(和) | SPDX / SBoM / OSS / 依存関係 / ソフトウェアライセンス |
キーワード(英) | SPDX / SBoM / OSS / Dependencies / Software License |
資料番号 | SS2022-20,KBSE2022-30 |
発行日 | 2022-07-21 (SS, KBSE) |
研究会情報 | |
研究会 | SS / IPSJ-SE / KBSE |
---|---|
開催期間 | 2022/7/28(から3日開催) |
開催地(和) | 北海道自治労会館(札幌) |
開催地(英) | Hokkaido-Jichiro-Kaikan (Sapporo) |
テーマ(和) | ソフトウェア工学全般/知能ソフトウェア工学全般/ソフトウェアサイエンス全般 |
テーマ(英) | |
委員長氏名(和) | 岡野 浩三(信州大) / 鷲崎 弘宜(早稲田大学) / 猿渡 卓也(NTTデータ) |
委員長氏名(英) | Kozo Okano(Shinshu Univ.) / 鷲崎 弘宜(早稲田大学) / Takuya Saruwatari(NTT Data) |
副委員長氏名(和) | 肥後 芳樹(阪大) / / 田辺 良則(鶴見大) |
副委員長氏名(英) | Yoshiki Higo(Osaka Univ.) / / Yoshinori Tanabe(Tsurumi Univ.) |
幹事氏名(和) | 小形 真平(信州大) / 林 晋平(東工大) / / 小島 英春(阪工大) / 柏 祐太郎(奈良先端大) |
幹事氏名(英) | Shinpei Ogata(Shinshu Univ.) / Shinpei Hayashi(Tokyo Inst. of Tech.) / / Hideharu Kojima(Osaka Inst. of Tech.) / Yutaro Kashiwa(NAIST) |
幹事補佐氏名(和) | ?本 真佑(阪大) / 伊原 彰紀(和歌山大学) / 小川 秀人(日立製作所) / 竹内 広宜(武蔵大学) / 徳本 晋(富士通) / 伏田 享平(NTT株式会社) / 福田 浩章(芝浦工業大学) / 横川 智教(岡山県立大学) / 青木 善貴(BIPROGY) / 堀田 大貴(茨城大) |
幹事補佐氏名(英) | Shinsuke Matsumoto(Osaka Univ.) / 伊原 彰紀(和歌山大学) / 小川 秀人(日立製作所) / 竹内 広宜(武蔵大学) / 徳本 晋(富士通) / 伏田 享平(NTT株式会社) / 福田 浩章(芝浦工業大学) / 横川 智教(岡山県立大学) / Yoshitaka Aoki(BIPROGY) / Hiroki Horita(Ibaraki Univ.) |
講演論文情報詳細 | |
申込み研究会 | Technical Committee on Software Science / Special Interest Group on Software Engineering / Technical Committee on Knowledge-Based Software Engineering |
---|---|
本文の言語 | JPN |
タイトル(和) | Debianパッケージに対する依存関係を含むSPDXファイルの自動生成ツール |
サブタイトル(和) | |
タイトル(英) | SPDX file generation tool for Debian packages including dependency relations |
サブタイトル(和) | |
キーワード(1)(和/英) | SPDX / SPDX |
キーワード(2)(和/英) | SBoM / SBoM |
キーワード(3)(和/英) | OSS / OSS |
キーワード(4)(和/英) | 依存関係 / Dependencies |
キーワード(5)(和/英) | ソフトウェアライセンス / Software License |
第 1 著者 氏名(和/英) | 田邉 傑士 / Taketo Tanabe |
第 1 著者 所属(和/英) | 大阪大学(略称:阪大) Osaka University(略称:Osaka Univ.) |
第 2 著者 氏名(和/英) | 眞鍋 雄貴 / Yuki Manabe |
第 2 著者 所属(和/英) | 福知山公立大学(略称:福公大) The University of Fukuchiyama(略称:Fukuchiyama Univ.) |
第 3 著者 氏名(和/英) | 神田 哲也 / Tetsuya Kanda |
第 3 著者 所属(和/英) | 大阪大学(略称:阪大) Osaka University(略称:Osaka Univ.) |
第 4 著者 氏名(和/英) | 井上 克郎 / Katsuro Inoue |
第 4 著者 所属(和/英) | 南山大学(略称:南山大) Nanzan University(略称:Nanzan Univ.) |
発表年月日 | 2022-07-30 |
資料番号 | SS2022-20,KBSE2022-30 |
巻番号(vol) | vol.122 |
号番号(no) | SS-138,KBSE-139 |
ページ範囲 | pp.115-120(SS), pp.115-120(KBSE), |
ページ数 | 6 |
発行日 | 2022-07-21 (SS, KBSE) |