Merge pull request #404 from no-ta/master

NorioKobota · web-flow · commit 5c5ba90a73e4 · 2025-06-09T11:25:36.000+09:00
Proposal of title modification and structure change in Appendix-1
diff --git a/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md b/subgroups/sbom-sg/outcomes/QualityGuide/SBOM-Document-Quality-Guide.ja.md
@@ -465,11 +465,40 @@ SBOM提供者は、使用する解析ツールの最新安定版やLTS情報、
 
 ---
 
-### Appendix-1. SBOM サンプル  
+### Appendix-1. SBOM交換用フォーマット仕様に合わせた解説
 
-ここには、仕様上正しく、また実際に企業などで利用されている、値の内容まで含めた、JSON Formatで記述されたSBOMのサンプルファイルを記載する。  
+ここには、SPDXやCycloneDXの仕様に合わせた場合の解説を記述する。
+必要な場合、仕様上正しく、また実際に企業などで利用されている、値の内容まで含めた、JSON Formatで記述されたSBOMのサンプルファイルを記載する。  
 SPDX 及び CycloneDX の仕様に詳しい人々にレビューをしてもらう必要がある。  
 
+#### Appendix-1.2. コンポーネント粒度の標準化と正規化
+
+##### Appendix-1.2.1. 粒度の判別方法
+
+「5.2 コンポーネント粒度の標準化と正規化」の評価方法で記述した、コンポーネントの粒度の違いについて実際の交換用フォーマット仕様で判別可能かを確認した。
+
+- SPDX 2.3
+  - relationshipsで、relationshipTypeがDEPENDS_ONやDEPENDENCY_OFになっているspdxElementIdとrelatedSpdxElementのSPDXIDからそのコンポーネントがパッケージかファイルかの判別ができる。
+
+- SPDX 3.0.1
+  - RelationshipクラスのfromとtoにあるElementのSPDXIDからそのコンポーネントがパッケージかファイルかの判別ができる。
+
+- CycloneDX 1.6
+  - dependenciesのrefとdependsOnに記述するbom-refのelment idからコンポーネントがパッケージかファイルかの判別ができる。
+
+##### Appendix-1.2.2. サンプル
+
+> パッケージとファイルの依存関係それぞれのサンプルが必要か?
+> とはいっても SPDXIDとbom-refのIDが変わるだけなので代り映えしない
+> 各フォーマットの課題があるのであればそこまで踏み込む?
+
+- SPDX 2.3
+
+- SPDX 3.0.1
+
+- CycloneDX 1.6
+
+
 ### Appendix-2. 5章の項目記載用テンプレート
 
 ここに記載のあるテンプレートを用いて、5章の各項目を追加していく。  
