同期型 SBOM API の非推奨と新仕様への移行案内
GitHub は、依存関係グラフの SBOM 生成に関する同期 API の廃止を発表し、代替となる非同期 REST API への移行を 2026 年 11 月までに完了するよう求めている。
キーポイント
API 廃止と移行期限の発表
従来の同期 SBOM API が非推奨となり、2026 年 11 月 13 日に完全削除される予定である。
新非同期 API の仕組み
新しいエンドポイントでは即座にレポート生成 URL を返し、クライアント側で完了をポーリングしてキャッシュされた SBOM をダウンロードする方式に変更される。
パフォーマンスと信頼性の向上
非同期化により、大規模な依存関係グラフの計算における処理性能とシステムの安定性が大幅に改善される見込みである。
影響分析・編集コメントを表示
影響分析
この変更は、ソフトウェア構成管理(SCA)やサプライチェーンセキュリティを自動化する開発者にとって、実装パターンの変更を余儀なくさせる重要なインパクトを持つ。特に大規模なリポジトリを対象とした SBOM 生成処理において、非同期処理への移行がシステムのレスポンス性と信頼性を劇的に高める一方で、短期間でのコード修正とテストが必要となる課題が生じる。
編集コメント
セキュリティ監査や自動スキャンを自動化するパイプラインを持つ組織では、2026 年までの移行計画が緊急課題となります。非同期処理の実装は少し手間がかかりますが、将来的なパフォーマンス向上には不可欠なステップです。
最新の非同期 SBOM REST API のリリースに伴い、従来の同期 API は廃止され、2026 年11月13日(6 ヶ月後)に削除される予定です。
現在、/{owner}/{repo}/dependency-graph/sbom という REST エンドポイントを使用しているスクリプトや統合システムがある場合は、新しい /{owner}/{repo}/dependency-graph/sbom/generate-report へ更新してください。このリクエストでは、完了をポーリングするための URL が返されます。SBOM(Software Bill of Materials: ソフトウェア部品表)の計算が完了すると、キャッシュされダウンロード可能になります。これにより、従来の方法よりも優れたパフォーマンスと信頼性が提供されます。API の詳細な使用方法については、API ドキュメントをご覧ください。
「Synchronous SBOM API deprecated」という記事は、最初に The GitHub Blog で公開されました。
原文を表示
Following the recent release of the new Asynchronous SBOM REST API, the older, synchronous API is deprecated and slated for removal in six months, on November 13, 2026.
If your scripts or integrations are currently using the REST endpoint at /{owner}/{repo}/dependency-graph/sbom, please update them to use the new /{owner}/{repo}/dependency-graph/sbom/generate-report instead. This request will return a URL which you then poll for completion. Once the SBOM is computed, it will be cached and available for download, providing better performance and reliability than the previous method. Visit the API documentation for more details on the API usage.
The post Synchronous SBOM API deprecated appeared first on The GitHub Blog.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み