この記事は、 NTT Communications Advent Calendar 2022 7日目の記事です。 はじめに こんにちは、イノベーションセンター所属の志村と申します。 「Metemcyber」プロジェクトで脅威インテリジェンスに関する内製開発や、「NA4Sec」プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 今回は「開発に使える脆弱性スキャンツール」をテーマに、GitHub Dependabot, Trivy, Grypeといったツールの紹介をさせていただきます。 脆弱性の原因とSCAによるスキャン 現在のソフトウェア開発は、多くのOSSを含む外部のソフトウェアに依存しています。Python、Go、npm など多くの言語は、様々なソフトウェアをパッケージとして利用できるエコシステムを提供しており、この仕組みを利用してOSSなどのコンポーネントをソフト
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ギットハブ・ジャパン(GitHub)は4月7日、クラウド上のリポジトリーからソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できる「ソフトウェア部品表」(SBOM)の作成機能「Export SBOM」を発表した。GitHubの全てのクラウドリポジトリーで無償利用できる。 SBOMは、企業や組織などで使われるソフトウェアの脆弱(ぜいじゃく)性を悪用したサイバー攻撃が深刻な被害をもたらしていることを踏まえて、2021年5月にJoe Biden米大統領が署名したサイバーセキュリティ対策の強化を目指す大統領令に盛り込まれた。同令では、ソフトウェア開発組織に対し、ソフトウェア製品を構成するコンポーネントやライ
マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開
マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開 マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。 SBOMによるサプライチェーンリスクの解決 SBOMとはSoftware Bill Of Materialsの頭文字をとったもので、日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざま
経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説
経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。 SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。 例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。 多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなってい
経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在 - まるちゃんの情報セキュリティ気まぐれ日記
国民に「マイナンバー」の共通番号法案を閣議決定、2015年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター/NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか? (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座 対策 受験 求人 事務所 問題集 合格 資格 学校) 短答式合格率4.6%に! (■CFOのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう!(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ
はじめに こんにちは。先日、社内にてSBOMに関する勉強会を行いました。この記事では、そこで学んだことを解説していきたいと思います。 具体的な内容は以下の通りです。 SBOMとは何か SBOMを導入するとどんなメリットがあるか SBOMを導入するにはどんなことに気を付けて何をすれば良いか SBOMにはどんな種類があるのか 特に、SBOMに興味はあるけど具体的に何していいかわからない、という方に参考になると思っています。少々長いですが、最後まで読んでいただけると嬉しいです。 それでは、順番に説明していきます。 SBOMとは SBOMとは、ソフトウェア部品表(Software Bill of Materials)、つまり、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことです。 ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開
DX(デジタルトランスフォーメーション)やIoT(Internet of Things)の進展により、ますますその存在感が増しているオープンソースソフトウェア(OSS)。ソフトウェアの高機能化、大規模化によるサプライチェーンの複雑化を背景に、SBOM(Software Bill of Materials)によるOSSサプライチェーンマネジメントに注目が集まっています。米国では既に必須化・標準化の動きが始まっており、日本企業も対応を迫られるようになってきました。本記事では、あらためてSBOMとは何か、そして日本におけるSBOM活用の普及促進にはどういった課題があるかについて、詳しく解説します。 SBOMとはいったい、どのようなものなのか Software Bill of Materials(SBOM、「エスボム」と読みます))とは、ソフトウェアを構成するOSSや商用ソフトウェアなどのライブラ
オープンソースソフトウェアの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集を取りまとめました (METI/経済産業省)
経済産業省では、オープンソースソフトウェア(OSS)を利活用するに当たって留意すべきポイントを整理し、そのポイントごとに参考となる取組を実施している企業の事例等をとりまとめた「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」を公開します。 1.背景・趣旨 経済産業省では、令和元年9月5日に産業サイバーセキュリティ研究会ワーキンググループ1 (WG1)分野横断サブワーキンググループの下に、サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース(ソフトウェアタスクフォース)を設置し、適切なソフトウェアの管理手法、脆弱性対応やライセンス対応等について検討を行ってきました。 近年、産業に占めるソフトウェアの重要性は高まっており、産業機械や自動車等の制御にもソフトウェアが利用されるようになっています。また、汎用的なハードウェア上にシステムを構築し
この記事は、 NTT Communications Advent Calendar 2022 1日目の記事です。 はじめに こんにちは。イノベーションセンターテクノロジー部門の西野と申します。 「Metemcyber」プロジェクトで、脅威インテリジェンスの運用や活用に関する研究開発をしています。 今回の記事では、SBOMを利用した脆弱性管理の取り組みについてご紹介します。 実は NTT Communications Advent Calendar に6年連続で寄稿しているので、そろそろ名前を覚えてあげてください。 SBOMとは? SBOMは「ソフトウェア部品表(Software Bill Of Materials)」と呼ばれるもので、一般的には特定のソフトウェアに含まれるコンポーネントの依存関係を記述するために利用されます。記述フォーマットとしてはSPDXやCycloneDXが有名です。
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(前編)】 - #FlattSecurityMagazine
Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。 プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いました。2週連続・前後編でお届けします! 今回コメントをいただいた方々(社名五十音順・順不同) 前編(本記事) Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道
本ブログの主旨 サプライチェーンセキュリティにおいて既存のフレームワークよりも具象化されたモデルを用いて脅威及び対策を精査することで、実際のプロダクトへのより実際的な適用可能性及び課題を検討した。 具象化されたモデルにおいては「脅威の混入箇所と発生箇所が必ずしも一致しない」という前提に立ち、各対策のサプライチェーンセキュリティにおける位置付け及び効力を検討した。とりわけ、ともすれば無思考的に採用しかねないSBOM等の「流行の」対策に対して、その課題や効果の限定性を明らかにした。 これらの脅威分析に基づき、「サプライチェーンの構成要素に存在する多数の開発者それぞれに対して責任を分散して負わせる」形態のパイプラインを置き換えるものとして、「各構成要素に存在する開発者に対して一定の制約を強制する代わりに、サプライチェーンセキュリティに関するオペレーションを一点に担う中央化されたCIパイプライン」
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (METI/経済産業省)
【2023年7月28日発表資料差し替え】「ソフトウェア管理に向けたSBOMの導入に関する手引きVer1.0」に関して、ページ番号の記載がなかったため追記しました。 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけ
GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能
GitHub.comにSBOM生成ツールが登場。誰でも無償でSBOMファイル作成、パブリックリポジトリならユーザーでも自由に作成可能 GitHubは、同社が提供するGitHub.comにSBOM(ソフトウェア部品表)生成ツールが組み込まれたことを発表しました。 リポジトリを参照できる権限があるユーザーであれば誰でもボタンをクリックするだけでSBOMファイルを無償で作成できます。 つまり、誰でも参照できるパブリックリポジトリであれば、誰でもそのリポジトリで公開されているソフトウェアのSBOMファイルが簡単に入手できることになります(実際に試しましたが、確かにパブリックリポジトリのSBOMファイルを簡単に作成できました)。 Introducing self-service SBOMs! With just one click, developers and compliance teams c
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。 SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。 本
Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには
@IT編集部は2022年8月22日、デジタルイベント「@IT ソフトウェア品質向上セミナー」を開催した。基調講演では、「SBOMによるサプライチェーン攻撃対策~自社ソフトウェアのリスク、把握していますか?~」と題して、JFrog Japanの横田紋奈氏(デベロッパーアドボケイト兼Java女子部・JJUG運営)が、企業におけるオープンソースソフトウェア(OSS)の使用に潜むリスクにはどのようなものがあり、それにどう対処していけばよいかについて解説した。 ソフトウェアのセキュリティで注目されるソフトウェアサプライチェーン攻撃 SBOMとソフトウェアサプライチェーンの話題の前に、横田氏はDevSecOpsとは何かから話を始めた。DevOpsは、開発者と運用者が協力してサービスを改善していくもの。ユーザーからのフィードバックなどを受けて取り組みを繰り返し、改善を継続する。そのための考え方であり、組
「SBOM(Software Bill Of Materials:ソフトウェア部品表)」という概念があります。これはあるソフトウェアを構築する上で利用しているライブラリの一覧をまとめたものです。また、システムにインストールされているソフトウェア一覧を示す場合もあります。今回は手元のUbuntuにインストールされているソフトウェア一覧を簡易的にまとめる方法を紹介しましょう。 SBOMの必要性 昨今のソフトウェアは多種多様なライブラリに依存しながら構築されています。太古のC言語のプログラムなら、シンプルなものならlibcだけ、そこそこ複雑なものでも2、3個のライブラリに依存するだけで済むことが大半でした。それが今風のプログラミング言語になると、特定の便利そうなライブラリに依存するだけで、「だったら俺も僕も私もミーも」といくつものライブラリがバンドルされてしまうのです。 結果的に広く使われてい
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Microsoftは2022年7月12日(米国時間)、SBOM(Software Bill of Materials:ソフトウェア部品表)生成ツール「sbom-tool」をオープンソースとして公開した。 SBOMはソフトウェアを構成する全てのコンポーネントのリストのこと。ソフトウェアサプライチェーンにおける透明性や、依存関係のトレーサビリティー(追跡可能性)を確保するための有効な手段として、世界的に普及が進んでいる。例えば、2021年の米国大統領令「国家のサイバーセキュリティの向上」においても、SBOMは重要な要件として挙げられている。 Microsoftによると、今回のSBOM生成ツールは汎用(はんよう)的で、業務に広く利用されてきた実績がある。WindowsやLinux、macOSなどのプラットフォームで動作し、SPDX(Software Package Data Exchange)形
The latest release series of BuildKit, v0.11, introduces support for build-time attestations and SBOMs, allowing publishers to create images with records of how the image was built. This makes it easier for you to answer common questions, like which packages are in the image, where the image was built from, and whether you can reproduce the same results locally. This new data helps you make inform
ソフトウェア開発におけるサプライチェーンセキュリティの実践 - NTT Communications Engineers' Blog
この記事は NTTコミュニケーションズ Advent Calendar 2023 の14日目の記事です。 こんにちは、イノベーションセンター所属の志村です。 Metemcyberプロジェクトで脅威インテリジェンスに関する内製開発や、Network Analytics for Security (以下、NA4Sec)プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 ソフトウェア開発プロセスにおけるセキュリティに関心が高まりつつあり、サプライチェーンセキュリティという言葉も広く使われるようになってきました。 またMetemcyberプロジェクトではSBOMに関する取り組みを行っていますが、SBOMもサプライチェーンセキュリティの分野での活用が期待されている概念となります。 そこで本記事ではサプライチェーンセキュリティとはそもそも何か、具体的にどのような対策が存在するのか
「SBOM (ソフトウェア部品表) とサイバーセキュリティへの対応状況」調査レポート公開 - The Linux Foundation
本日、日本語版の「SBOM (ソフトウェア部品表) とサイバーセキュリティへの対応状況」調査レポート (原題 : The State of Software Bill of Materials and Cybersecurity Readiness) が公開されました。 本調査レポートは、ソフトウェア サプライチェーンを保護するための課題と機会について理解を深める研究プロジェクトの第一弾として、Linux Foundation Research が、SPDX、OpenChain、OpenSSFと協力して作成しました。組織におけるSBOMの準備・採用の度合いと、オープンソース エコシステム全体のサイバーセキュリティを改善する上でのSBOMの重要性について報告しています。 調査は、米国政府による「国家サイバーセキュリティ改善に関する大統領令」と、ホワイトハウスのOSSセキュリティサミットのすぐ
脆弱性のリスクが高いOSSとは 渡邊歩氏(以下、渡邊):みなさま、ご質問を投稿いただけましたでしょうか。それでは三田さま、もう一度お戻りいただきまして、みなさまからのご質問にお答えいただきたいと思います。 実は非常にたくさんご質問をいただいておりますので、みなさまが本当に興味のある分野ということがわかるかと思います。それでは1つずつ、三田さまにご回答いただきます。 まず1つ目のご質問です。「OSSの中でも脆弱性の対応頻度の高いものは、SBOMでトレースする意義が高いと思うのですが、そのようなOSSごとの更新頻度、脆弱性の対応頻度などの情報はお持ちではありませんか?」。こちらはいかがでしょうか。 三田真史氏(以下、三田):「OSSごとの」というところで、脆弱性頻度が高いものは確かに一部あるかなと思っております。SBOMなどを使って可視化していくことは重要だと思いますが、例えば脆弱性情報が出た
「ライセンス管理や脆弱性の管理はソフトウエアの中身が分からないとできない。SBOM(Software Bill of Materials、エスボム)利用の目的を明確にして、サプライチェーンの企業に提出を依頼している」――。トヨタ自動車の担当者はこう語る。「(ソフトウエア部品情報の)伝言ゲームを効率的に正確に行うためのツールとしてSBOMがある」(同担当者)。 SBOMに取り組むのはトヨタだけではない。ルネサスエレクトロニクスやキヤノンも力を入れている。キヤノングループでは医療機器の開発などを手掛けるキヤノンメディカルシステムズも取り組みを進めており、現在生産している約2000の製品群でSBOMをつくれる環境を整えた。IT業界では野村総合研究所(NRI)が、Javaによるシステム開発を支援するフレームワーク「ObjectWorks X」で利用するソフトウエアのSBOMを提供し始めた。 SBO
GitHub - knqyf263/trivy: Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
GitHub - microsoft/sbom-tool: The SBOM tool is a highly scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Googleは2022年6月14日(米国時間)に公開したブログ記事で、SBOM(Software Bill of Materials:ソフトウェア部品表)の活用事例を発表した。オープンソースツールを使って、「Kubernetes」のSBOMをオープンソースプロジェクトの脆弱(ぜいじゃく)性データベース「Open Source Vulnerabilities」(OSV)と照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介している。 米国では、2021年の米国大統領令「国家のサイバーセキュリティの向上」の発令や、米国標準技術局(NIST)による「Secure Software Development Framework」(安全なソフトウェア開発フレームワーク)の発表を受け、SBOMの導入機運が高まっている。 SBOMは、「特定のソフトウェアのリスクを判断するには、他
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。 新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケー
| 概要 | インストール | 利用方法 | 補助機能 | 動作環境 | よくある質問と答え(FAQ) | MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) 概要 MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) は、JVN iPedia に登録されている脆弱性対策情報を MyJVN API を利用して、製品名等でフィルタリングして収集するためのツールです。 mjcheck4 を利用することで、組織で利用しているソフトウェアの脆弱性対策情報を効率よく収集することができます。 mjcheck4 は、Adobe Air 環境で動作していた MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck3) に対して機能拡張をした後継となるツールです。 mjcheck3 を利用されている方は、mjcheck4 をご使用ください。 【mjche
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?:OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか 各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。 高まるSBOM導入の機運、継続的な監視/運用の体制作りが重要に ここ数年で、オープンソースソフトウェア(OSS)の利用リスクに大きな注目が集まるようになった。「Apache Log4j」で明らかになった脆弱(ぜいじゃく)性の問題は、今やOSSがあらゆるところで使われており、セキュリティ上の問題がもたらす社会的インパクトが大きいという事実を浮き彫りにした
Microsoft open sources its software bill of materials (SBOM) generation tool - Engineering@Microsoft
Microsoft open sources its software bill of materials (SBOM) generation tool We are excited and proud to open source our software bill of materials (SBOM) generation tool. A key requirement of the Executive Order on Improving the Nation’s Cybersecurity, SBOMs are lists of ingredients that make up software components, providing software transparency so organizations have insight into their supply c
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 これまで、以下の記事でソフトウェアの脆弱性の対応およびその解決策としての「ソフトウェア部品表」(SBOM:Software Bill Of Materials)の有効性などについて述べてきた。 セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由 セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情 「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク 米国政府が「SBOM」による管理を大統領令に盛り込んだ意味 今
GitHub - anchore/syft: CLI tool and library for generating a Software Bill of Materials from container images and filesystems
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
本記事では、Windows OSをはじめとするOSを使用する開発者やIT管理者、経営層などに向けて、ソフトウェアのサプライチェーンリスクや既知の脆弱(ぜいじゃく)性といったリスクと、それを解決するためのSBOM(Software Bill of Materials)の活用について説明していきます。 本校では、以下のような疑問に答えていきます。 SBOMに関する一般論からOS視点でのSBOM活用に触れることで、ソフトウェアの開発と運用に携わる全てのステークホルダーにSBOMの理解を深めていただければと思います。 OS視点で見るSBOM導入の課題 SBOMは、もともとLinux環境におけるオープンソースソフトウェア(OSS)の管理で頻繁に使用される考え方でした。コードの再利用と共有が盛んなこの分野では、SBOMがセキュリティとコンプライアンスの鍵となっています。 Windows OS環境では、
Introducing self-service SBOMs
Open SourceSecurityIntroducing self-service SBOMsDevelopers and compliance teams get a new SBOM generation tool for cloud repositories. Following the precedent set by Executive Order 14028, security and compliance teams increasingly request software bills of materials (SBOMs) to identify the open source components of their software projects, assess their vulnerability to emerging threats, and veri
本連載では、オープンソースソフトウェア(OSS)の利活用に伴う「ライセンスリスク」と、それをマネジメントするための活動である「OSSコンプライアンス」について取り上げ、エンジニアの方がOSSをスムーズに利用するための実務上の勘所や、これから戦略的にOSSを活用していきたいと考えている企業の方へのヒントとなる情報を紹介しています。 今回からは、「SBOM(Software Bill of Materials:ソフトウェア部品表)」についての本格的な解説に入ります。SBOMは、広義では「ソフトウェアのリスト」あるいは「OSSのリスト」です。本連載でも、これまでに社内でOSSのリストを管理しながらプロジェクトを進行する場面がありました。 しかし、複数のパートナー企業と協力して、サプライチェーンにおけるコンプライアンスおよびセキュリティ担保の取り組みを進めるには、情報内容や記述形式の統一、さらには
海外コメンタリー ソフトウェアサプライチェーンのセキュリティ向上へ--Linux Foundationらが発表した署名サービス Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2021-03-17 06:30 もし数カ月前に、誰かにITセキュリティに関する最大の心配事を尋ねていたら、さまざまな答えが返ってきただろう。しかしその後、SolarWindsが自社のソフトウェアのサプライチェーンを守ることに致命的に失敗し、一部で「ITのパールハーバー」とも呼ばれるような事態が発生したことで、今では、仕事に真剣に取り組んでいる最高セキュリティ責任者(CSO)や最高情報セキュリティ責任者(CISO)であれば、誰でもソフトウェアサプライチェーンを守ることを最優先の仕事に位置づけている。オープンソースに対するこの要求に応えるために、
GitHubは2023年3月28日(米国時間)、GitHubのクラウドリポジトリへの読み取りアクセスが可能な人なら誰でも、ワンクリックで「SBOM(Software Bill of Materials:ソフトウェア部品表)」を生成できるSBOMエクスポート機能を発表した。この機能で生成されるSBOMは、米国商務省のNTIA(国家電気通信情報局)が発表したSBOMの最小要素のガイドラインに準拠している。 この新しいSBOMエクスポート機能では、プロジェクトの依存関係とメタデータ(バージョンやライセンスのような)を業界標準の「SPDX」フォーマットで保存したJSONファイルが生成される。このファイルは、セキュリティやコンプライアンスのためのワークフローやツールで使用したり、「Microsoft Excel」でレビューしたりできる。「Google Sheets」との互換性を確保するには、JSON
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
開発に使える脆弱性スキャンツール - NTT Communications Engineers' Blog
GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に
SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは
SBOMで始める脆弱性管理の実際 - NTT Communications Engineers' Blog
[PDF]OSS の利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
サプライチェーンセキュリティにおける脅威と対策の再評価 | メルカリエンジニアリング
ソフトウェアを外部の攻撃から守るために SBOMを使った脆弱性管理の方法1章~3章までを解説
第734回 UbuntuでSBOM(ソフトウェア部品表)を作る方法 | gihyo.jp
SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける
自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」【海の向こうの“セキュリティ”】
急速に注目集める「SBOM」、Microsoftが生成ツールをOSS化 その機能とは?
Generating SBOMs for Your Image with BuildKit | Docker
日本でもSBOM整備は義務化されるのか? OSS管理をめぐる、国際動向と今後の方向性
トヨタ・ルネサス・キヤノンが力注ぐSBOM、欧米主導で企業間取引の条件に
「Kubernetes」の脆弱性をSBOMで特定、Googleが詳細な手法を公開
NTTら10社がセキュリティ推進団体を設立--SBOMの課題解決と活用へ
ソフトウェアサプライチェーンをセキュア化するためのガイダンス、推奨事項を要チェック【海外セキュリティ】
MyJVN - MyJVN 脆弱性対策情報フィルタリング収集ツール
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?
継続する「Log4Shell」脆弱性の被害が証明したSBOMの価値
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
SBOMの2大フォーマット「SPDX」「CycloneDX」の違いとは?
ソフトウェアサプライチェーンのセキュリティ向上へ--Linux Foundationらが発表した署名サービス
GitHubリポジトリからSBOMを簡単に生成できる新機能をリリース、GitHub
qiita.com/sey323
jp.reuters.com
www.nhk-ondemand.jp
akito-takizawa.com
jp.freepik.com
natsuki.nk.awe.jp