経済産業省、「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説
経済産業省は「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定し公開したことを明らかにしました。 SBOMは日本語では「ソフトウェア部品表」とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、オープンソースを始めとする多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざまなソフトウェアに影響することは必至です。 例えば2021年末に発覚したJavaライブラリ「Log4j」の脆弱性は、非常に幅広いJavaのソフトウェアに深刻な影響を与えました。 多くの産業や社会インフラにおいてソフトウェアの存在が欠かせなくなってい
はじめに こんにちは。先日、社内にてSBOMに関する勉強会を行いました。この記事では、そこで学んだことを解説していきたいと思います。 具体的な内容は以下の通りです。 SBOMとは何か SBOMを導入するとどんなメリットがあるか SBOMを導入するにはどんなことに気を付けて何をすれば良いか SBOMにはどんな種類があるのか 特に、SBOMに興味はあるけど具体的に何していいかわからない、という方に参考になると思っています。少々長いですが、最後まで読んでいただけると嬉しいです。 それでは、順番に説明していきます。 SBOMとは SBOMとは、ソフトウェア部品表(Software Bill of Materials)、つまり、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことです。 ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開
「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました (METI/経済産業省)
【2023年7月28日発表資料差し替え】「ソフトウェア管理に向けたSBOMの導入に関する手引きVer1.0」に関して、ページ番号の記載がなかったため追記しました。 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。今般、主にソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定しましたのでお知らせします。 本手引の普及により企業におけるSBOMの導入が進むことで、ソフトウェアの脆弱性への対応に係る初動期間の短縮や管理コストの低減など、ソフトウェアの適切な管理が可能となり、企業における開発生産性が向上するだけでなく、産業界におけ
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。 SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。 本
ソフトウェア開発におけるサプライチェーンセキュリティの実践 - NTT Communications Engineers' Blog
この記事は NTTコミュニケーションズ Advent Calendar 2023 の14日目の記事です。 こんにちは、イノベーションセンター所属の志村です。 Metemcyberプロジェクトで脅威インテリジェンスに関する内製開発や、Network Analytics for Security (以下、NA4Sec)プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 ソフトウェア開発プロセスにおけるセキュリティに関心が高まりつつあり、サプライチェーンセキュリティという言葉も広く使われるようになってきました。 またMetemcyberプロジェクトではSBOMに関する取り組みを行っていますが、SBOMもサプライチェーンセキュリティの分野での活用が期待されている概念となります。 そこで本記事ではサプライチェーンセキュリティとはそもそも何か、具体的にどのような対策が存在するのか
「ライセンス管理や脆弱性の管理はソフトウエアの中身が分からないとできない。SBOM(Software Bill of Materials、エスボム)利用の目的を明確にして、サプライチェーンの企業に提出を依頼している」――。トヨタ自動車の担当者はこう語る。「(ソフトウエア部品情報の)伝言ゲームを効率的に正確に行うためのツールとしてSBOMがある」(同担当者)。 SBOMに取り組むのはトヨタだけではない。ルネサスエレクトロニクスやキヤノンも力を入れている。キヤノングループでは医療機器の開発などを手掛けるキヤノンメディカルシステムズも取り組みを進めており、現在生産している約2000の製品群でSBOMをつくれる環境を整えた。IT業界では野村総合研究所(NRI)が、Javaによるシステム開発を支援するフレームワーク「ObjectWorks X」で利用するソフトウエアのSBOMを提供し始めた。 SBO
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTら国内外の情報通信およびIT系10社が2月16日、サプライチェーンセキュリティを推進する新団体「セキュリティ・トランスペアレンシー・コンソーシアム」を設立したと発表した。製品やシステム、サービスなどを「つくる側(開発や構築、提供)」が作成・提供した可視化データを利用する際に直面する問題について「つかう側(ユーザー)」からとりまとめ、その問題解決に取り組むという。 新団体には、アラクサラネットワークス、NRIセキュアテクノロジーズ、NTTデータグループ、FFRIセキュリティ、シスコシステムズ、東京エレクトロン、NEC、NTT、日立製作所、 三菱電機が参加する。またNTTでは、グループ企業のNTT東西、NTTドコモ、NTTコミュニケー
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?:OSS活用の際に直面する“3つの課題”と自社システムの脆弱性にどう立ち向かうか 各国政府や国際機関が、SBOMなどを通じたサイバーセキュリティやソフトウェアのサプライチェーンへの取り組みを急速に進めている。これは人ごとではない。各国政府や、業界団体は、制度化や国際標準化により企業への対応を強く求めている。今後、企業にはどういうアクションが求められるのだろうか。 高まるSBOM導入の機運、継続的な監視/運用の体制作りが重要に ここ数年で、オープンソースソフトウェア(OSS)の利用リスクに大きな注目が集まるようになった。「Apache Log4j」で明らかになった脆弱(ぜいじゃく)性の問題は、今やOSSがあらゆるところで使われており、セキュリティ上の問題がもたらす社会的インパクトが大きいという事実を浮き彫りにした
本記事では、Windows OSをはじめとするOSを使用する開発者やIT管理者、経営層などに向けて、ソフトウェアのサプライチェーンリスクや既知の脆弱(ぜいじゃく)性といったリスクと、それを解決するためのSBOM(Software Bill of Materials)の活用について説明していきます。 本校では、以下のような疑問に答えていきます。 SBOMに関する一般論からOS視点でのSBOM活用に触れることで、ソフトウェアの開発と運用に携わる全てのステークホルダーにSBOMの理解を深めていただければと思います。 OS視点で見るSBOM導入の課題 SBOMは、もともとLinux環境におけるオープンソースソフトウェア(OSS)の管理で頻繁に使用される考え方でした。コードの再利用と共有が盛んなこの分野では、SBOMがセキュリティとコンプライアンスの鍵となっています。 Windows OS環境では、
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、前半は1章〜3章の復習をしましたが、後半は4章を中心に解説します。前半はこちら。 4章「環境構築・体制整備フェーズにおける実施事項・認識しておくべきポイント」 渡邊:4章ですね。環境構築と体制整備フェーズにおける実施事項と、認識しておくべきポイントです。まず一番初めがSBOMの適用範囲の明確化というところで、これは手引き書もこういった構成になっていて、実際にこのフェーズでやるべき事柄と、それによって認識しておくべきポイントがまとまっています。 文言的にはサマライズして
サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します (METI/経済産業省)
ホーム ニュースリリース ニュースリリースアーカイブ 2024年度4月一覧 サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」の意見公募を開始します 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。2023年7月には、ソフトウェ
12月になりました、アドベントカレンダーの季節ですね!本記事は、クラスメソッド DevOps・セキュリティ Advent Calendar 2023の12/10記事です。今回は、SnykでのSBOM生成について詳しく見ていきたいと思います。 こんにちは、こんばんは、アライアンス事業部のきだぱんです。 今年も残りわずか… 12月に入りました。アドベントカレンダーの季節です! 本記事はクラスメソッド DevOps・セキュリティ Advent Calendar 2023の12/10記事になります! クラスメソッド DevOps・セキュリティ Advent Calendar 2023 今回は、SnykでのSBOM生成について詳しく見ていきたいと思います。 Snyk CLIでのSBOM生成 BomberでSBOMの脆弱性スキャン SBOM Checker SBOMとは 今回の主役であるSBOMとは一
関連キーワード サイバー攻撃 | セキュリティ | セキュリティリスク ソフトウェア部品表である「SBOM」(Software Bill of Materials)は、ソフトウェアのライセンス管理や、脆弱(ぜいじゃく)性の特定に役立つ。SBOMには以下3つのフォーマットがある。 CycloneDX Software Package Data Exchange(SPDX) Software Identification Tag(SWID Tag、またはSWIG) これらは何が違うのか。SPDXの構成要素や、利用できるツールを紹介する。 SPDXとは? その構成要素とツールの中身 併せて読みたいお薦め記事 連載:SBOM「3つのフォーマット」を比較 前編:ソフトウェア部品表「SBOM」は1つじゃない 「CycloneDX」とは何か? ソフトウェアを安全に開発するには 企業が分かっていない「OS
「全企業・全組織にとっての悩みだと思うが、ソフトウエアの規模が非常に大きくなっている。どう見える化するかは社会課題だ。SBOM(Software Bill of Materials、エスボム)はこの課題に対応する手段になる」――。トヨタ自動車の担当者はこう語る。 2024年1月、トヨタ自動車はOSS(オープンソースソフトウエア)の推進組織「オープンソースプログラムグループ」を新設した。いわゆるOSPO(Open Source Programs Office)だ。人員は約10人。新組織の設置で、SBOMの作成や活用に関する活動も推進しやすい形になりつつある。 トヨタ自動車はこれまでもSBOMを利用してきた。検討を始めたのは2018年ごろ。目的は、当時採用が増えてきたOSSのライセンス条件を守ることだった。ソフトウエアの中身を適切に理解するために、SBOMが必要だったわけだ。脆弱性の管理にも利
Open Source Security Foundation(OpenSSF)は2024年4月16日(米国時間)、米国の国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) および国土安全保障省 (DHS) 科学技術総局 (S&T) と共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。 Protobomは、SBOM(Software Bill of Materials:ソフトウェア部品表)に関連するファイルデータを読み取り、業界標準のSBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできるオープンソースソフトウェア(OSS)だ。商用およびオープンソースのアプリケーションに統合することもできる。 関連記事 「CPython」がSBOMに対応 PSFがSPDX形式のSBOMドキュメントを公開 Pyth
現在、世の中の様々なものがIT化されることが当たり前になった。特に、電子制御や情報連携の機能が発達した自動車や医療機器などはその代表格と言える。そして、それらを構成するソフトウェアは多種多様な制御をすることもあり、非常に大規模なものとなっている。また、そのような大規模なソフトウェアを構成する部品として、OSS(オープンソースソフトウェア)がその過半を占めるようになってきている。 OSSはソースコードが公開されていることだけでなく、既に稼働実績が一定数あることから、上記のような工業製品の「品質」と「コスト競争力」そして「開発スピード」を保ちながらリリースするために無くてはならないものになっている。しかし、多くの人が使うソフトウェアということもあり、攻撃者の標的となりやすい。その結果、OSSに脆弱性が見つかった場合、その都度迅速な対応を迫られるようになった。 しかも、工業製品はITにおけるソフ
セキュリティイノベーション統括部の鈴木です。 近年、企業のセキュリティ対策において、ソフトウェアサプライチェーンのリスク管理が重要なテーマとなっています。情報処理推進機構(IPA)が2023年3月29日に発表した「情報セキュリティ10大脅威 2023」※1では、「サプライチェーンの弱点を悪用した攻撃」が前年の3位から2位に上昇しています。 ※1 情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 このように大きな脅威となっているサプライチェーン攻撃リスクに対処するために、近年注目されているのが「SBOM(Software Bill of Materials、エスボム)」です。今回はSBOMについて、また、迅速にソフトウェアサプライチェーンに潜むリスクを特定できる「Snyk(スニーク)」のSBOM機能について詳しくご紹介します。 ソフトウェ
経済産業省は、4月5日(金曜日)に、第8回産業サイバーセキュリティ研究会を開催し、AI等のデジタル技術の進展や近年の地政学リスクの高まり、米欧等における制度整備の動向等を踏まえた新たなサイバーセキュリティ政策の方向性を提示するとともに、「産業界へのメッセージ」を発出しました。 1.背景・趣旨 経済産業省では、産業界が目指すべきサイバーセキュリティの方向性について、産業界を代表する経営者やインターネット時代を切り開いてきた有識者等から構成されるメンバーに、大所高所から議論いただくべく、2017年12月に「産業サイバーセキュリティ研究会」(座長:村井純慶応大学教授)を設置し、以降7回にわたり会合を開催してきました。これまで、本研究会では、我が国の産業界が直面するサイバーセキュリティの課題や、関連政策を推進していくためのアクションプランの策定等について議論が行われてきました。経済産業省では、関係
サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します (METI/経済産業省)
ホーム ニュースリリース ニュースリリースアーカイブ 2024年度4月一覧 サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」の意見公募を開始します 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。2023年7月には、ソフトウェ
AWS announces Software Bill of Materials export capability in Amazon Inspector
Amazon Inspector now offers the ability to export a consolidated Software Bill of Materials (SBOMs) for all Amazon Inspector monitored resources across your organization in industry standard formats, including CycloneDx and SPDX. With this new capability, you can use automated and centrally managed SBOMs to gain visibility into key information about your software supply chain. This includes detail
日立ソリューションズはSBOM情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。 日立ソリューションズは2023年12月13日、SBOM(ソフトウェア部品表)情報やソフトウェアの脆弱性情報を一元管理する「SBOM管理サービス」を提供開始した。オープンソースソフトウェア(OSS)の脆弱性情報の共有や管理に関わる業務を効率化する。 SBOMと脆弱性情報のひも付けを効率化 SBOM管理サービスは、企業のSBOMを蓄積、分析、管理するためのプラットフォームを提供するものだ。日立ソリューションズは同サービスの機能ロードマップを4段階で考えており、今回、提供を開始したのは1段階目の「脆弱性の共有と管理の自動化」に関わる部分となる。 特徴として、公開された脆弱性情報を自動的に収集して、ソフトウェアに影響を与え得る脆弱性を検出し、深刻度や対応ステータスなどの項目を使って管
GitHub - owasp-dep-scan/dep-scan: OWASP dep-scan is a next-generation security and risk audit tool based on known vulnerabilities, advisories, and license limitations for project dependencies. Both local repositories and container images are supported as
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
総務省と SBOM という組み合わせの妙に加え、雑多な雰囲気の会場でおカタい話、もしかして参加者はかなり少ないんじゃないか、などと多少イジワルな気持ちも相まって興味が沸いた筆者は、2023 年 6 月 14 日、この講演に足を運ぶことにした。
バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売 | ScanNetSecurity
サイエンスパーク株式会社は5月10日、バイナリファイルからSBOMを生成できる「SBOMスキャナ」の発売を発表した。
先端技術研究所 サイバーセキュリティの強化を目的に通信分野へのSBOM導入に向けた実証事業に着手 2023年8月1日 KDDI株式会社 株式会社KDDI総合研究所 富士通株式会社 日本電気株式会社 株式会社三菱総合研究所 KDDI株式会社(本社:東京都千代田区、代表取締役社長 CEO:髙橋 誠、以下「KDDI」)、株式会社KDDI総合研究所(本社:埼玉県ふじみ野市、代表取締役所長:中村 元、以下「KDDI総合研究所」)、富士通株式会社(本社:東京都港区、代表取締役社長 CEO:時田隆仁、以下「富士通」)、日本電気株式会社(本社:東京都港区、取締役 代表執行役社長 兼 CEO:森田隆之、以下「NEC」)、株式会社三菱総合研究所(本社:東京都千代田区、代表取締役社長:籔田健二、以下「MRI」)は、サイバーセキュリティの強化を目的に、5GやLTEネットワーク機器などを対象例とした通信分野に対し、
◆ Live配信スケジュール ◆ サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。 ⇒ 詳細スケジュールはこちらから ⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください 【4/18開催】VSCode Dev Containersで楽々開発環境構築祭り〜Python/Reactなどなど〜 Visual Studio Codeの拡張機能であるDev Containersを使ってReactとかPythonとかSpring Bootとかの開発環境をラクチンで構築する方法を紹介するイベントです。 https://tech-lab.connpass.com/event/311864/ Dependency-Trackの調査PS/SLの佐々木です。 今回はSBOMツールの一つであるDependency-Tra
日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > 運用管理 > 新製品・サービス > 日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 運用管理 運用管理記事一覧へ [新製品・サービス] 日立ソリューションズ、利用中のソフトウェア部品と脆弱性を一元管理する「SBOM管理サービス」 2023年12月12日(火)日川 佳三(IT Leaders編集部) リスト 日立ソリューションズは2023年12月12日、SBOM(ソフトウェア部品表)管理クラウドサービス「SBOM管理サービス」を同年12月13日から販売すると発表した。SBOMを一元管理し、脆弱性情報を検出してサプライチェーンで共有する機能を備えている。価格(税込み)は年額330万円から。 日立ソリューションズの「SBOM管理サービス」は、SBOM(ソフトウェア部品表)を管理するためのクラウド
こんにちは。井上です。 FutureVulsは「日々更新される脆弱性情報を補足し、より効果的な運用・管理をサポートする」サービスですが。 2022/9/14リリースにて運用部分で有用なSSVC(Stakeholder-Specific Vulnerability Categorization)をサポートしました。 本稿では、脆弱性対応の現状からSSVCの説明、SSVCの適用例を説明します。 目次 脆弱性対応の現状 問題点 どうしたらよいのか SSVCとは 概要 どのような利点があるのか SSVCを適用する 従来の判断 SSVCでの判断 まとめ 脆弱性対応の現状脆弱性を検知した後にどのように判断/対応するのか、は悩みどころの多い問題です。 一般的には以下を考慮して対応を検討しています。 脆弱性自体の危険度 自システムへの影響度 対策難易度 未対策でのリスク その為、上記を判断する基準を組織で
今日から始めるSBOM
SBOM(ソフトウエア部品表、エスボム)を導入する企業が増えてきた。OSS(オープンソースソフトウエア)のライセンス管理だけでなく、ソフトウエアに潜む脆弱性の把握や対処でも有効だ。経済産業省も手引き書を策定するなど普及を後押ししている。 SBOMの機運は高まりつつあるが、日本での認知度はまだこれから。利用するには何から始めればいいのか。どのように活用すればいいのか。トヨタ自動車やルネサスエレクトロニクスの事例を交えて解説する。 第4回 キヤノンメディカルは2000の製品でSBOM作成可能に、対応急務の医療機器業界 「大変だが従わなければならない」――。キヤノングループで医療機器開発などを手掛けるキヤノンメディカルシステムズの鉞泰行上席常務は苦労をにじませる。2024年4月から、日本の医療機器業界ではプログラムを用いた医療機器のSBOM対応が必須になる。 2024.03.05 第3回 トヨタ
景気減速でソフト開発の脆弱性対応が後手に? SBOM整備の取り組みも足踏みか:IoTセキュリティ(1/2 ページ) 日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2024 オープンソース・セキュリティ&リスク分析(OSSRA)レポート」の結果について説明した。 日本シノプシスは2024年4月17日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2024 オープンソース・セキュリティ&リスク分析(OSSRA:Open Source Security and Risk Analysis)レポート」の結果について説明した。また、近年のOSSRAレポートのキーワードとなっているSBOM(ソフトウェア部品表)と関わるソフトウェアコンポジション解析について、OSSだけでなくカスタムコンポー
個人的にすごくわかりにくい話として「オープンソースソフトウェア」(OSS)のライセンス問題。今回は、主流なライセンスの違いなどをある程度まとめておこうかと思いまして。 免責事項 MITライセンス BSDライセンス 四条項BSDライセンス 三条項BSDライセンス 二条項BSDライセンス 0条項BSDライセンス GPL GPL-2.0 GPL-3.0 AGPL LGPL Apache License 〆 不定期「Step-ZERO」 このシリーズでは、読者の皆様がなにかを調べる「最初の段階」となる内容をまとめています。この記事で完結するもよし、ここから更に調べるもよし 免責事項 ライセンスについて、著者は法律家でもなんでもありません。なので、この記事も正しいとは限りません。あくまでも大枠さえ掴んでいただければと思います。 つまり、実際に使うときはもっとよく調べてくれってことです。ここに書いてあ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
ソフトウェアを外部の攻撃から守るために SBOMを使った脆弱性管理の方法1章~3章までを解説
自組織のSBOM管理ツール選定の参考になる? 米国家安全保障局が公開した「SBOM管理のための推奨事項」【海の向こうの“セキュリティ”】
トヨタ・ルネサス・キヤノンが力注ぐSBOM、欧米主導で企業間取引の条件に
NTTら10社がセキュリティ推進団体を設立--SBOMの課題解決と活用へ
求められるSBOM対応、ソフトウェアのリスク管理は「待ったなし」、さあどうする?
Windows OSのシステム管理者も無関係じゃない、これから始めるSBOM
SBOMツールは何を選べばいいのか SBOMを使った脆弱性管理の方法4章を解説
SnykでSBOM生成してみた#2 | DevelopersIO
ソフトウェア部品表「SBOM」のフォーマットとは? 国際標準「SPDX」の中身
トヨタは供給網でSBOMフォーマットを統一、ルネサスはセキュリティー管理に工夫
「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に? OpenSSFが発表
ゼロから理解する「SBOM」、ソフトウェアの脆弱性リスク低減に役立つ運用ガイド
Snykの新しいSBOM機能で、ソフトウェアサプライチェーンのセキュリティリスクに対処する | LAC WATCH
第8回「産業サイバーセキュリティ研究会」を開催しました (METI/経済産業省)
激増するOSSのセキュリティ対策を、SBOMと脆弱性情報の管理基盤を提供開始
日立ソリューションズ、ソフトウェア部品表を一元管理する「SBOM管理サービス」を提供
総務省 SBOM 対応ノスゝメ | ScanNetSecurity
サイバーセキュリティの強化を目的に通信分野へのSBOM導入に向けた実証事業に着手
SBOMツール紹介 ~ Dependency-Track編 ~ | SIOS Tech. Lab
脆弱性管理クラウド「yamory」、組み込みソフト向けのSBOM管理機能を強化
脆弱性対応に有用なSSVCと、適用について | Vuls Blog
景気減速でソフト開発の脆弱性対応が後手に? SBOM整備の取り組みも足踏みか
OSSの主流ライセンスをまとめてみる - Nishiki-Hub
脆弱性管理クラウド「yamory」、ソフトウェア部品表(SBOM)のインポート機能を提供
