The Linux Foundation Japanは2022年5月12日、調査レポート「The State of Software Bill of Materials and Cybersecurity Readiness」の日本語版「SBOM(ソフトウェア部品表)とサイバーセキュリティへの対応状況」を公開した。Webページからダウンロードできる。 この調査レポートは「ソフトウェアサプライチェーンを保護するための課題と機会について理解を深める研究プロジェクトの第1弾」としてLinux Foundation Researchが、SPDX(Software Package Data Exchange)やOpenChain、OpenSSF(Open Source Security Foundation)と協力して作成した。企業におけるSBOMの準備・採用の度合いと、オープンソースエコシステム全
サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します (METI/経済産業省)
ホーム ニュースリリース ニュースリリースアーカイブ 2024年度4月一覧 サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します サイバー攻撃への備えを!「SBOM」(ソフトウェア部品構成表)を活用してソフトウェアの脆弱性を管理する具体的手法についての改訂手引(案)を公表します 「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0(案)」の意見公募を開始します 経済産業省は、ソフトウェアサプライチェーンが複雑化する中で、急激に脅威が増しているソフトウェアのセキュリティを確保するための管理手法の一つとして「SBOM」(ソフトウェア部品表)に着目し、企業による利活用を推進するための検討を進めてきました。2023年7月には、ソフトウェ
Announcing GUAC, a great pairing with SLSA (and SBOM)!
The latest news and insights from Google on security and safety on the Internet
Extend your dependency information in the GitHub Dependency Graph with new GitHub Actions
SecurityExtend your dependency information in the GitHub Dependency Graph with new GitHub ActionsNew Actions from Anchore, NowSecure, SBT, and Trivy are now available to create a more comprehensive GitHub Dependency Graph. Earlier this month, we released an API that allowed you to upload dependency information directly to GitHub. Previously, GitHub built the dependency graph entirely from static s
SPDX license identifiers ってなんだ。 | クラウド・AWSのIT技術者向けブログ SKYARCH BROADCASTING
SPDX license identifiers ってなんだ。 ちょっと訳があって、git のログを見てたら以下のようなエントリがあった。1 hrtimers/tick/clockevents: Remove sloppy license references “For licencing details see kernel-base/COPYING” and similar license references have no value over the SPDX identifier. Remove them.
12月になりました、アドベントカレンダーの季節ですね!本記事は、クラスメソッド DevOps・セキュリティ Advent Calendar 2023の12/10記事です。今回は、SnykでのSBOM生成について詳しく見ていきたいと思います。 こんにちは、こんばんは、アライアンス事業部のきだぱんです。 今年も残りわずか… 12月に入りました。アドベントカレンダーの季節です! 本記事はクラスメソッド DevOps・セキュリティ Advent Calendar 2023の12/10記事になります! クラスメソッド DevOps・セキュリティ Advent Calendar 2023 今回は、SnykでのSBOM生成について詳しく見ていきたいと思います。 Snyk CLIでのSBOM生成 BomberでSBOMの脆弱性スキャン SBOM Checker SBOMとは 今回の主役であるSBOMとは一
関連キーワード サイバー攻撃 | セキュリティ | セキュリティリスク ソフトウェア部品表である「SBOM」(Software Bill of Materials)は、ソフトウェアのライセンス管理や、脆弱(ぜいじゃく)性の特定に役立つ。SBOMには以下3つのフォーマットがある。 CycloneDX Software Package Data Exchange(SPDX) Software Identification Tag(SWID Tag、またはSWIG) これらは何が違うのか。SPDXの構成要素や、利用できるツールを紹介する。 SPDXとは? その構成要素とツールの中身 併せて読みたいお薦め記事 連載:SBOM「3つのフォーマット」を比較 前編:ソフトウェア部品表「SBOM」は1つじゃない 「CycloneDX」とは何か? ソフトウェアを安全に開発するには 企業が分かっていない「OS
「全企業・全組織にとっての悩みだと思うが、ソフトウエアの規模が非常に大きくなっている。どう見える化するかは社会課題だ。SBOM(Software Bill of Materials、エスボム)はこの課題に対応する手段になる」――。トヨタ自動車の担当者はこう語る。 2024年1月、トヨタ自動車はOSS(オープンソースソフトウエア)の推進組織「オープンソースプログラムグループ」を新設した。いわゆるOSPO(Open Source Programs Office)だ。人員は約10人。新組織の設置で、SBOMの作成や活用に関する活動も推進しやすい形になりつつある。 トヨタ自動車はこれまでもSBOMを利用してきた。検討を始めたのは2018年ごろ。目的は、当時採用が増えてきたOSSのライセンス条件を守ることだった。ソフトウエアの中身を適切に理解するために、SBOMが必要だったわけだ。脆弱性の管理にも利
テーマはSBOM。最近ではカンファレンスのキーワードで扱われる機会が増えてきている。JFrog Japan デベロッパーアドボケイト 横田紋奈氏は顧客からの問い合わせが増えているのを感じているという。「こういうのは浸透するまで時間もエネルギーもかかります。前回のデブサミでも取りあげましたが『この人しつこいな』と思われるまでやっていきます!」と元気にDevSecOpsの重要性について解説した。 (上)JFrog Japan株式会社 デベロッパーアドボケイト Java女子部 JJUG 横田紋奈氏、(下)JFrog Japan株式会社 デベロッパー・アドボケイト 佐藤由久氏 ソフトウェアの推移的依存関係をどこまで把握できるか? まずはソフトウェアのサプライチェーンについて考えてみよう。簡単に言えば、ソフトウェアが本番環境にデプロイされ、ユーザーの元へ届くまでの一連の流れを指す。物流のサプライチェ
SBOM の必要性が増している背景や国内外の状況、具体的な SBOM の仕様、SBOM 対応の方法についてお伝えしました。
yamory を導入いただいている株式会社システムインテグレータ様に、導入の経緯や活用状況について、お話を伺いました。
Open Source Security Foundation(OpenSSF)は2024年4月16日(米国時間)、米国の国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティー庁 (CISA) および国土安全保障省 (DHS) 科学技術総局 (S&T) と共同で、オープンソースのサプライチェーンツール「Protobom」を発表した。 Protobomは、SBOM(Software Bill of Materials:ソフトウェア部品表)に関連するファイルデータを読み取り、業界標準のSBOMデータを生成したり、異なるフォーマット間でSBOMデータを変換したりできるオープンソースソフトウェア(OSS)だ。商用およびオープンソースのアプリケーションに統合することもできる。 関連記事 「CPython」がSBOMに対応 PSFがSPDX形式のSBOMドキュメントを公開 Pyth
SPDX : すでに世界共通のソフトウェア部品表 (SBOM) およびサプライチェーン セキュリティで使用 - The Linux Foundation
本ブログは、SPDX: It’s Already in Use for Global Software Bill of Materials (SBOM) and Supply Chain Security の参考訳です。 著者 : The Linux Foundation、ディペンダブルシステム担当 VP Kate Stewart Linux Foundationの以前のブログにおいて、LF Supply Chain SecurityのディレクターDavid A. Wheelerは、どのようにすればLinux Foundationコミュニティが構築した一連の機能を使用して、サイバーセキュリティに関する米国大統領令の定めるソフトウェアのサプライチェーン セキュリティ要件に対応できるかについて説明しています。 これらの機能の1つであるSPDXは、ソフトウェア部品表(SBOM)に関する大統領
現在、世の中の様々なものがIT化されることが当たり前になった。特に、電子制御や情報連携の機能が発達した自動車や医療機器などはその代表格と言える。そして、それらを構成するソフトウェアは多種多様な制御をすることもあり、非常に大規模なものとなっている。また、そのような大規模なソフトウェアを構成する部品として、OSS(オープンソースソフトウェア)がその過半を占めるようになってきている。 OSSはソースコードが公開されていることだけでなく、既に稼働実績が一定数あることから、上記のような工業製品の「品質」と「コスト競争力」そして「開発スピード」を保ちながらリリースするために無くてはならないものになっている。しかし、多くの人が使うソフトウェアということもあり、攻撃者の標的となりやすい。その結果、OSSに脆弱性が見つかった場合、その都度迅速な対応を迫られるようになった。 しかも、工業製品はITにおけるソフ
サイバートラスト、脆弱性管理「MIRACLE Vul Hammer V4」を提供、SBOMでライブラリ全体を検査 | IT Leaders
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 新製品・サービス > サイバートラスト、脆弱性管理「MIRACLE Vul Hammer V4」を提供、SBOMでライブラリ全体を検査 セキュリティ セキュリティ記事一覧へ [新製品・サービス] サイバートラスト、脆弱性管理「MIRACLE Vul Hammer V4」を提供、SBOMでライブラリ全体を検査 2022年9月28日(水)日川 佳三(IT Leaders編集部) リスト サイバートラストは2022年9月28日、脆弱性管理ソフトウェアの新版「MIRACLE Vul Hammer V4」をリリースした。Vul Hammerは情報システムを構成するOSやソフトウェアの脆弱性を調べて可視化する製品。新版では、SBOM(ソフトウェア部品表)を取り込んで、依存するソフトウェアコンポーネントを含めて脆弱性を可視化できる
JSAC2023の講演の様子を引き続きお伝えします。第3回はDAY2 Workshopについてです。 Surviving the hurt locker: or How I Learned to Stop Worrying and Love the Bom講演者:LINE株式会社 Simon Vestin、二関 学Simon氏、二関氏は、SBOMの説明およびSBOMを生成するプログラムを作成するハンズオンを行いました。SBOMとは、ソフトウェアやシステムを構成材料を列挙したものです。SBOMは、コンプライアンス・ライセンス管理や脆弱性管理に使用されており、複数の規格やタイプがあることを紹介いただきました。また、SBOMの作成方法として、モデリングを手動で行う方法やツールで自動化する方法を共有いただきました。 DIY CycloneDX/cyclonedx-python-lib https:
SBOMが解決する課題と関連資料の紹介
NECサイバーセキュリティ戦略統括部セキュリティ技術センターの岩田琴乃です。本ブログでは、近年、注目が集まっているSBOM(Software Bill Of Materials) [1]の概要・解決する課題・活用による運用上のメリット・関連資料をご紹介します。 SBOMとは、Software Bill of Materialsの略語で、読み方は「エスボム」です。「ソフトウェア部品表」とも呼ばれます。SBOMは、製品やソフトウェアに含まれるコンポーネントの情報(構成情報)とそのコンポーネント間の依存関係をリスト化したデータです。食品パッケージの裏に記載されている原材料表示のように、ソフトウェアを構成する部品を一覧化したリストをイメージすると分かりやすいでしょう。 SBOMを作成・管理することで、特定のソフトウェアの構成要素に関する情報が可視化でき、ソフトウェアの構成情報管理・組み込まれている
もうひとつの自動車セキュリティを学ぶセミナー 経済産業省 和平悠希氏[インタビュー] | レスポンス(Response.jp)
国連の枠組みであるWP29とその作業部会による自動車セキュリティの標準化が議論されている。セキュリティは次世代車両の設計、製造には不可欠な技術要素である。自動車セキュリティは、車両ハードに関するものとソフトウェアプロダクツとして見たものと両面で考える必要がある。 たとえば、SBOMという言葉を聞いたことがあるだろうか。また、リスク分析を行うとき、セキュリティ対策を実装するとき、車両をIoTデバイス、平たくいえば「家電」ととらえた視点は非常に重要だ。 自動車にまつわるセキュリティ対策の標準 WP29の議論は、機能安全の規格であるISO 26262と、それを車両に適応させたISO/SAE 21434。そして自動車製造に関するセキュリティマネジメントを規定したUN-R155、OTAを前提としたソフトウェアアップデート機能を規定したUN-R156といった規格が主なトピックとなる。だが、これは自動車
![もうひとつの自動車セキュリティを学ぶセミナー 経済産業省 和平悠希氏[インタビュー] | レスポンス(Response.jp)](https://cdn-ak-scissors.b.st-hatena.com/image/square/ce64d7e96d6dc420e7a237f39dbdaeab9b68cce8/height=288;version=1;width=512/https%3A%2F%2Fresponse.jp%2Fimgs%2Fogp_f%2F1803927.jpg)
セキュリティイノベーション統括部の鈴木です。 近年、企業のセキュリティ対策において、ソフトウェアサプライチェーンのリスク管理が重要なテーマとなっています。情報処理推進機構(IPA)が2023年3月29日に発表した「情報セキュリティ10大脅威 2023」※1では、「サプライチェーンの弱点を悪用した攻撃」が前年の3位から2位に上昇しています。 ※1 情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 このように大きな脅威となっているサプライチェーン攻撃リスクに対処するために、近年注目されているのが「SBOM(Software Bill of Materials、エスボム)」です。今回はSBOMについて、また、迅速にソフトウェアサプライチェーンに潜むリスクを特定できる「Snyk(スニーク)」のSBOM機能について詳しくご紹介します。 ソフトウェ
GitHub - oss-review-toolkit/ort: A suite of tools to automate software compliance checks.
The OSS Review Toolkit (ORT) is a FOSS policy automation and orchestration toolkit that you can use to manage your (open source) software dependencies in a strategic, safe and efficient manner. You can use it to: Generate CycloneDX, SPDX SBOMs, or custom FOSS attribution documentation for your software project Automate your FOSS policy using risk-based Policy as Code to do licensing, security vuln
経済産業省は、4月5日(金曜日)に、第8回産業サイバーセキュリティ研究会を開催し、AI等のデジタル技術の進展や近年の地政学リスクの高まり、米欧等における制度整備の動向等を踏まえた新たなサイバーセキュリティ政策の方向性を提示するとともに、「産業界へのメッセージ」を発出しました。 1.背景・趣旨 経済産業省では、産業界が目指すべきサイバーセキュリティの方向性について、産業界を代表する経営者やインターネット時代を切り開いてきた有識者等から構成されるメンバーに、大所高所から議論いただくべく、2017年12月に「産業サイバーセキュリティ研究会」(座長:村井純慶応大学教授)を設置し、以降7回にわたり会合を開催してきました。これまで、本研究会では、我が国の産業界が直面するサイバーセキュリティの課題や、関連政策を推進していくためのアクションプランの策定等について議論が行われてきました。経済産業省では、関係
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linux Foundationが調査レポート「SBOMとサイバーセキュリティへの対応状況」を公開
SnykでSBOM生成してみた#2 | DevelopersIO
ソフトウェア部品表「SBOM」のフォーマットとは? 国際標準「SPDX」の中身
トヨタは供給網でSBOMフォーマットを統一、ルネサスはセキュリティー管理に工夫
SBOMの脆弱性管理がもたらす品質とスピード向上でDevSecOpsを進めよう【デブサミ2022夏】
SBOM(ソフトウェア部品表)の重要性と効率的な対応方法~オンラインセミナー開催レポート~ | yamory Blog
工数の削減と属人性を排除した脆弱性管理を実現 - 株式会社システムインテグレータ | yamory Blog
「Protobom」でSBOMの作成、異なるフォーマットへの変換が容易に? OpenSSFが発表
ゼロから理解する「SBOM」、ソフトウェアの脆弱性リスク低減に役立つ運用ガイド
JSAC2023 開催レポート~DAY 2 Workshop~ - JPCERT/CC Eyes
Snykの新しいSBOM機能で、ソフトウェアサプライチェーンのセキュリティリスクに対処する | LAC WATCH
第8回「産業サイバーセキュリティ研究会」を開催しました (METI/経済産業省)