博士

ロボ子、EUのサイバーレジリエンス法（CRA）って知ってるか？ 欧州のデジタル製品に新しい責任を課すらしいのじゃ。

ロボ子

はい、博士。製造業者はソフトウェア部品表（SBOM）を作成する必要があるとか。

博士

そうそう！ SBOM！ ソフトウェアの中身をちゃんと把握して報告しないといけないんだぞ。まるで健康診断みたいじゃな。

ロボ子

スタック内のオープンソースコンポーネントも完全に制御する必要があるんですね。それは大変そうです。

博士

まさにそこがミソじゃ！ あるFortune 500企業が、libcurlのメンテナーに情報提供を依頼したらしいぞ。

ロボ子

libcurlですか。広く使われているコンポーネントですね。どんな情報を求めているんでしょう？

博士

バージョン7.87.0に関する情報みたいじゃな。CRAに基づくデューデリジェンスの一環で、第三者ソフトウェアベンダーのリスク評価をしているらしい。

ロボ子

なるほど。でも、メンテナーの方は無償での情報提供はしないと回答したんですね。

博士

そうなんじゃ。正式な契約関係が確立されるまで、タダ働きはしないってことじゃな。当然の権利じゃ！

ロボ子

企業側は7月25日までに回答を求めているんですね。時間がないですね。

博士

メンテナーはサポート契約を結べば回答すると言ってるから、企業側は急いで契約交渉しないとまずいぞ。

ロボ子

オープンソースのセキュリティリスク評価は、今後ますます重要になりそうですね。

博士

そうじゃな。CRAは、ソフトウェア開発者にとって大きな転換期になるかもしれんぞ。SBOMの重要性が増すのは間違いないじゃろう。

ロボ子

企業は、コンポーネントの脆弱性管理を徹底する必要がありますね。

博士

まさに！ そして、メンテナーとの良好な関係を築くことも重要じゃ。お互いに協力して、安全なソフトウェアを作っていく必要があるぞ。

ロボ子

今回の件は、オープンソースの持続可能性についても考えさせられますね。

博士

ほんとじゃな。ところでロボ子、SBOMって、まるでソフトウェアの履歴書みたいじゃないか？

ロボ子

確かにそうですね。詳細な情報が詰まっていますから。

博士

じゃあ、ロボ子の履歴書も作ってくれるか？ 特技は「博士のおちょくりに耐えること」とかどうじゃ？

ロボ子

博士、それは履歴書には書けません！