マイクロソフト、ビルド時にソフトウェアの部品表（SBOM）を自動生成する「SBOM Tool」、オープンソースで公開

マイクロソフト、ビルド時にソフトウェアの部品表（SBOM）を自動生成する「SBOM Tool」、オープンソースで公開 マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。 SBOMによるサプライチェーンリスクの解決 SBOMとはSoftware Bill Of Materialsの頭文字をとったもので、日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざま

[marshi]

↓引用ぽく書いてるがsilent bombなんて書いてなくね？

[tetsutalow]

ソフトウェアサプライチェーンの問題、面倒でもSBOM作るくらいしか解がなさそうなのでこういうツールは本当ありがたい。米国政府がSBOM推進を打ち出したので日本も経産省産業サイバーセキュリティ研究会で議論中。

[programmablekinoko]

これはSIerが喜びそう

[BlueSkyDetector]

spdxの普及はOSSの脆弱性対応の重要なポイント。米国では政府系へのソフトウェア納品ではSBOMが必須になると言われている。日本でも組み込み系でOSSを使う大手の会社がSBOMを要求するようになってきてる。

[gabill]

“SBOMとはSilent Bombの略で、日本語では「潜在的な脆弱性」とされます。”

[TakamoriTarou]

こう言うのをさらっとオプソで出しちゃうのがMSの強さ。　　しかし、エスボム言うと我々のギョーカイだとService BOMなんじゃがのう

[tmatsuu]

わいわい。既存プロジェクトに試してみてどう表現されるのか確認したい

[pascal256]

何処まで自動でできるんだろ

[yarumato]

“SBOM（Software Bill Of Materials、ソフトウェア部品表）によって、アプリが、どのソフトウェア部品を使い、いつ構築されたのかが判別できれば、脆弱性（サプライチェーンリスク）の判断と対応も迅速に行えます。”

[ghrn]

脆弱性とライセンス問題の両方が表面化する、ある意味パンドラの箱を開くに等しい。SBOM作るだけじゃなくて、脆弱性情報DBとの突き合わせ、ライセンス照会が大事。

[kaakaa_hoe]

大量に検出される中の誤検知をどう扱うかなんだよな。log4shell当時、JNDI関連のクラス除去して暫定対処としたOSSもあったけど、それだけだと該当verのlog4jが含まれると判定されるし。そういうのを含めてどう運用するか。

[hase0510]

奥深くからGPLのモジュールが見つかって大騒ぎ、みたいになったりする？

[rin51]

つまり .config を良い感じに見える化してくれるということか(そうか？

[punychan]

ビルド時はいるけど運用時はいらないとか、運用方法によっていらなかったりするようなのも記述できるといいな。標準化されて広く行き渡ればパッケージ管理にも応用がきく。

[tsz]

設定ファイル経由で起動時に動的に読み込むライブラリは漏れそう。昔、脆弱性の影響調査したときは、動いてるプロセスのprocfsのメモリマップみてロードされてるライブラリを確認してた。これも漏れるときは漏れるが。

[namisk]

これは良き