SBOMHub
オープンソース SBOM 管理

ソフトウェア部品表を 一元管理

SBOMHubは、CycloneDX/SPDXのインポート、脆弱性管理、VEXステートメント作成、コンプライアンスチェックを提供するSBOM管理プラットフォームです。

主な機能

ソフトウェアサプライチェーンセキュリティに必要な機能を網羅

SBOM インポート

CycloneDX、SPDX形式のSBOMファイルをインポート。Syft、cdxgen、Trivyなどの主要ツールに対応。

脆弱性管理

NVDデータベースと連携し、コンポーネントの脆弱性を自動検出。深刻度別に一覧表示。

VEX ステートメント

脆弱性の影響評価(VEX)を作成・管理。誤検知の除外や対応状況を記録。

コンプライアンス

経済産業省のSBOMガイドラインへの対応を支援する自己評価チェック機能。※公式な準拠認定ではありません。

ライセンス管理

OSSライセンスの自動検出とポリシーチェック。ライセンス競合や利用条件の違反を防止。

CI/CD 連携

GitHub ActionsなどのCI/CDパイプラインからAPIでSBOMをアップロード。

IPA 連携

IPA(情報処理推進機構)の重要なセキュリティ情報と連携。国内向け脆弱性情報を自動取得。

SBOM 差分比較

異なるバージョン間のSBOMを比較し、追加・削除・更新されたコンポーネントと新規脆弱性を検出。

日本語対応

日本市場向けに最適化。UIは日本語/英語の両方に対応。

料金プラン

チームの規模に合わせて選べるプラン。まずは無料でお試しください。

Self-hosted

無料

自社サーバーで運用

  • 無制限のプロジェクト
  • 無制限のユーザー
  • 全機能利用可能
  • コミュニティサポート
  • GitHub / Docker Hub
人気

Cloud Starter

¥2,500/

小規模チーム向けのクラウドホスティング版

  • 5 プロジェクトまで
  • 3 ユーザーまで
  • SBOM管理・脆弱性検出・VEX
  • メールサポート(営業日対応)
  • 自動バックアップ・SSL証明書

Cloud Pro

¥8,000/

成長するチーム向けのフル機能版

  • 無制限のプロジェクト
  • 10 ユーザーまで
  • SBOM管理・脆弱性検出・VEX
  • 監査ログ

Cloud Team

¥20,000/

大規模チーム向けの専用プラン

  • 無制限のプロジェクト
  • 30 ユーザーまで
  • 全機能利用可能
  • 監査ログ・レポート機能

全機能一覧

SBOMHubが提供するすべての機能をご紹介します

SBOM管理

SBOMインポート

CycloneDX・SPDX形式に対応。Syft、cdxgen、Trivyなどの主要ツールからインポート可能

コンポーネント管理

プロジェクト内の全コンポーネントを一覧表示。名前・バージョン・ライセンス情報を管理

SBOM差分比較

バージョン間のSBOMを比較し、追加・削除・更新されたコンポーネントを可視化

SBOM共有

プロジェクトのSBOMを外部パートナーと安全に共有するための公開リンクを生成

セキュリティ

脆弱性管理

NVDデータベースと連携し、コンポーネントの脆弱性を自動検出・深刻度別に表示

VEXステートメント

脆弱性の影響評価(VEX)を作成・管理。誤検知の除外や対応状況を記録

SSVC評価

CISAのSSVCフレームワークに基づき、脆弱性の優先度を自動・手動で評価

KEV連携

CISAの既知悪用脆弱性カタログと連携し、実際に悪用されている脆弱性を警告

EOLステータス確認

コンポーネントのサポート終了状況を自動チェック。アップグレード推奨を表示

ライセンス管理

OSSライセンスの自動検出とポリシーチェック。許可・禁止・要確認を設定可能

分析・レポート

ダッシュボード

脆弱性サマリー、EPSS上位脆弱性、プロジェクトリスクスコアを一覧表示

トレンド分析

MTTR・SLO達成率などの脆弱性対応パフォーマンス指標を可視化

レポート機能

経営・技術・コンプライアンスレポートをPDF/Excel形式で自動生成

横断検索

CVE IDやコンポーネント名で全プロジェクトを横断検索し、影響範囲を特定

コンプライアンス

経済産業省SBOMガイドラインへの対応を支援する自己評価チェック機能

連携・自動化

CI/CD連携

GitHub ActionsなどのCI/CDパイプラインからAPIでSBOMを自動アップロード

IPA/JVN連携

IPAセキュリティアラートとJVN脆弱性情報を自動取得。国内向け情報に対応

チケット連携

Jira・Backlogと連携し、脆弱性から直接チケットを作成。ステータス同期対応

通知機能

Slack・Discord・メールで新規脆弱性検出時に通知。重要度でフィルタリング可能

MCP Server

Claude Desktop・Cursorから自然言語でSBOMHubの情報にアクセス

CLIツール

sbomhub-cliでコマンドラインからSBOMスキャン・アップロード・検索を実行

エンタープライズ

監査ログ

すべての操作履歴を記録・検索。コンプライアンス要件への対応に

APIキー管理

CLI・MCP Server・CI/CD連携で使用するAPIキーを発行・管理

多言語対応

日本語・英語のUIを完全サポート。日本市場向けに最適化

よくある質問

SBOMとは何ですか?

SBOM(Software Bill of Materials)は、ソフトウェアを構成するコンポーネント(ライブラリ、フレームワーク等)の一覧表です。ソフトウェアサプライチェーンの透明性を確保し、脆弱性管理やライセンスコンプライアンスに不可欠な文書です。

SBOMHubは無料で使えますか?

はい。SBOMHubはAGPL-3.0ライセンスのオープンソースソフトウェアです。セルフホスト版は完全無料で全機能をご利用いただけます。クラウド版は14日間の無料トライアル後、月額¥2,500からご利用いただけます。

CycloneDXとSPDXの違いは何ですか?

CycloneDXとSPDXはどちらもSBOMの標準フォーマットです。CycloneDXはOWASPが開発し、セキュリティに焦点を当てています。SPDXはLinux Foundationが管理し、ライセンスコンプライアンスに強みがあります。SBOMHubは両方のフォーマットに対応しています。

VEX(Vulnerability Exploitability eXchange)とは何ですか?

VEXは、報告された脆弱性が実際に自社の製品に影響を与えるかどうかを伝えるための標準形式です。SBOMHubでは、脆弱性ごとに「調査中」「影響なし」「影響あり」「修正済み」のステータスを設定し、誤検知の管理や対応状況の記録ができます。

経済産業省のSBOMガイドラインに対応していますか?

SBOMHubは経済産業省が策定した「ソフトウェア管理に向けたSBOMの導入に関する手引」に基づく自己評価チェック機能を提供しています。ただし、これは公式な準拠認定ではなく、ガイドラインへの対応を支援するツールです。

どのSBOM生成ツールに対応していますか?

SBOMHubはSyft(Anchore)、cdxgen(CycloneDX)、Trivy(Aqua Security)など主要なSBOM生成ツールの出力に対応しています。CycloneDXまたはSPDX JSON形式であれば、その他のツールで生成したSBOMもインポート可能です。

今すぐSBOM管理を始めましょう

ソフトウェアサプライチェーンのセキュリティを強化。14日間の無料トライアルで全機能をお試しいただけます。