この論文では、Trivyの重要なSBOM生成修正（PR #9224）を、エンタープライズ向けGenAI搭載プラットフォームに拡張し、包括的なDevSecOps自動化と数百万ドルのコスト削減を実現する方法を実証します。コアとなる依存関係解決の改善から、エンタープライズ規模のAI主導の脆弱性インテリジェンスまで、技術的な実装を探求します。 基盤：Trivyにおけるクロス結果依存関係解決 問題提起：不完全なSBOM依存関係グラフ 元の問題： SBOM依存関係グラフのプロットで、特にモジュールBがモジュールAからの共有ライブラリに依存するマルチモジュールプロジェクトにおいて、異なるスキャン結果間に存在する依存関係が見落とされていました。根本原因は、依存関係解決が個々の結果のみを検査し、レポート内のすべての結果を検査しなかったことにあります。