Update SBOM-Document-Quality-Guide.ja.md

Added 5.9

Author: yoshi-i

subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md

@@ -335,12 +335,24 @@ SBOMの信頼性と改ざん耐性を確保するために、以下の改善策
 
 ##### 5.9.1. 課題の概要
 
-- ソースコードとパッケージ両方から依存関係を取得することで、重複や冗長な情報が混在し、全体の依存関係把握が難しくなる  
-- ロックファイルやパッケージマネージャーのログだけで解析した場合、最新の依存関係や推移的な依存関係が完全に反映されない場合がある  
-- 解析手法に統一性や自動化が不足しており、正確な依存関係抽出と整合性の維持に手動の補完が必要となっている
+- コンポーネント間の依存関係は、パッケージ生成時に想定されるすべての利用事例に対応した記述がなされるべきである
+  - ライブラリパッケージなどのような事例では、サプライチェーン下流で一部関数が使用されない可能性がある場合でも、パッケージに含まれるすべてのソフトウェアについてコンポーネント間の依存関係や関連性を記述する必要がある
+- アプリケーションBuild時など、生成されるオブジェクトファイルに含まれないソフトウェアが取捨された場合、SBOM記述としては生成結果に含まれるコンポーネントに絞り込まれた記述となることが望ましい
+  - 脆弱性情報などとの突合せにより、該当・非該当を判断する場合、呼び出されないコード、含まれないデータなどに対して、擬陽性を示すことを抑止するために、SBOM記述と生成されたオブジェクトファイルの内容を合致させる必要がある
 
 ##### 5.9.2. 課題の詳細
 
+- SBOMに記述される依存関係は、パッケージによって記述される項目・内容が変化することを前提にしなければならない
+  - 汎用のソフトウェア部品として生成されたパッケージには、パッケージを受け取った側が利用しないソフトウェアが含まれ得る
+  - パッケージを受け取った側が、そのパッケージを用いてアプリケーションソフトウェアなどを生成する場合、Buildオプションなど追加定義を与えることが一般的であるため、依存関係に変化が生じ得る
+  - ソースコードとパッケージ両方から依存関係を取得することで、重複や冗長な情報が混在し、全体の依存関係把握が難しくなる
+- SBOMを受け取った側が、SBOMに記載された依存関係を検証する際、実際にパッケージを用いているアプリケーションソフトウェアの構成に正確に沿った検証を行うことが望ましく、そのためには、パッケージ生成時だけではなくアプリケーションソフトウェア生成時のBuildオプションなどを反映することが望ましい
+  - ロックファイルやパッケージマネージャーのログだけで解析した場合、最新の依存関係や推移的な依存関係が完全に反映されない場合がある  
+- 解析手法に統一性や自動化が不足しており、正確な依存関係抽出と整合性の維持に手動の補完が必要となっている
+  - 複数のパッケージに含まれる各ライブラリと、アプリケーションプログラムを生成するBuildシステム、相互でSBOM情報を取得・再生成できる構成となっていなければ、生成されるオブジェクトファイルに対する正確なコンポーネント情報、コンポーネント間の依存情報が生成できない
+  - アプリケーションソフトウェアとして生成されたオブジェクトファイルに対するSBOMと、動的にリンクを行うダイナミックリンクライブラリ、動的にパッケージを読み込むPlug-inなどの各パッケージが提供するSBOM情報を、アプリケーションソフトウェアの実稼働に即して正確に再構成しなければ、情報の欠落が生じ得る
+
+
 - パッケージ間の依存関係は、一般に、パッケージをBuild/生成する際の、ソースコード、コンパイル情報から導き出される
 - しかしながら、ソースコード、およびソースコードが参照するライブラリ群には、最終的に生成されるアプリケーションにおいては利用されない領域が存在し、それら利用されない領域への依存関係・利用されない領域から参照される依存関係、などを擬陽性として排除し、依存関係を軽量化することが一般に行われる
 - 他方、パッケージマネジメントシステムが保有する依存関係は、当該のパッケージに含まれるソフトウェア全てが利用される前提で依存関係を管理することが期待されている