SBOM

本記事はサーバーワークス Advent Calendar 2023 の8日目の記事です。 qiita.com こんにちは。アプリケーションサービス部の兼安です。 今回はセキュリティのお話です。 日々ソフトウェアの改善を行う中で、スピードとセキュリティの両立にお悩みの方も多いのではないでしょうか。 今回は、脆弱性を管理するSBOMという仕組みを、OSSのTrivyというツールを使ってご紹介します。 trivy.dev 本記事のターゲット 本記事執筆に用いた環境 SBOMとは SBOMを取り巻く状況 Trivyで脆弱性を検知する 終了コードの指定 Trivyの解析結果をSBOM形式で出力する Gi…

23年11月にESFからSBOMに関するガイダンス「 Securing the Software Supply Chain: Recommended Practices for Software Bill of Materials Consumption」が出ました。 今回はSBOMを受け取るカスタマー側の目線からお勉強します。

かつてソフトウェア開発が「自家薬籠中」のもので、ソースコードを部外（＆社外）に持ち出すことがあり得なかった時代には、多くの企業で同じようなコードを書く社会全体では非効率なことが行われていた。これを改善して、皆が使えるコードを公開し合ったのがオープンソース・ソフトウェア（OSS）。 自分で書いていないコードを利用するのが、今では当たり前になっている。効率的ではあるが、その結果自社製品に組み込まれているソフトウェアの由来を管理する必要が出てきて、割合見過ごされがちである。管理がおろそかになると、 ・ライセンス違反をしていることに気付かない ・問題（バグ等）があるプログラムを使用していても見逃しがち…

【要点】 ◎製品に含まれるソフトウェアを構成するコンポーネントや互いの依存関係、ライセンスデータなどをリスト化した一覧表 security-log.hatenablog.com 【図表】 使用するソフトウェアの構成部品を一覧で管理 出典: https://www.nri-secure.co.jp/glossary/sbom 【辞書】 ◆SBOMとは【用語集詳細】 (SOMPO CYBER SECURITY) https://www.sompocybersecurity.com/column/glossary/sbom ◆SBOM（Software Bill of Materials）(NRI …

今週、ハードウェアの信頼性についてこれを明示しようという取り組みについて紹介した。ではソフトウェアについてはどうか？ハードウェアに比べて製造元が非常に多く、細分化すれば個人のプログラマまで広がってしまう。 ソフトウェアがハードウェアの「機器添付品」だった時代は、ハードウェアの製造企業が個別にソフトウェアを開発していた。ハードウェアの標準化に伴って、ソフトウェアの個別開発を見直せるようになった。これによって、ソフトウェア開発の効率性は高まった。ソフトウェアは人類共通の資産だという考えも広がり、それまでは「自家薬籠中」の物だったソースコードが公開されるようになった。これがオープンソースソフトウェア…

概要 SBOMって？ 参考情報 概要 忘れないうちにメモメモ。。。 以下の記事で知りました。感謝。 japan.zdnet.com 自分のリポジトリで確認してみると、確かに出力出来るようになっていますね。 InsightsのDependency graphから見れます。 SBOMって？ ChatGPT(GPT-4)さんに聞いてみたら以下のような回答をしてくれました。 SBOM（Software Bill of Materials）とは、ソフトウェア製品やコンポーネントに含まれるすべてのコンポーネント、ライブラリ、依存関係、その他関連する情報を一覧にした文書です。これにより、ソフトウェア開発者や…

はじめに こんにちは、ACS事業部の谷合です。 先日Githubから、SBOMのエクスポート機能が提供されたとのアナウンスがありました。 github.blog ちなみにSBOMとは、Software Bill of Materialsの略語であり、ソフトウェアのコンポーネント、 ライブラリ、ツール、およびプロセスを部品とみなし、それらを可視化 した一覧表です。 2021年末に発覚した「Log4j」の脆弱性などをきっかけにソフトウェアサプライチェーン における 脆弱性に注目が集まったことで、ソフトウェアの依存関係を可視化する取り組み として注目されています。 また、現在米国では大統領令にて、政…