Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ソフトウェアのサプライチェーンリスク対策でSBOM利用を促進 - Linux Foundation

Linux Foundationは、サプライチェーンにおけるセキュアなソフトウェアの流通に向けて「ソフトウェア部品表(SBOM)」の活用を促すため、同団体のプロジェクトが策定するフォーマット「SPDX」の導入を支援する施策を発表した。

5月にBiden米大統領が署名したサイバーセキュリティに関する大統領令では、ソフトウェアにおけるサプライチェーン保護の重要性が示され、内包するコンポーネントなどソフトウェアのライセンスや脆弱性を示す「ソフトウェア部品表(SBOM)」の提供などへ言及したことを受けて、「SPDX(Software Package Data Exchange)」形式の導入について推進を図るもの。

同フォーマットは、これまでも主要なSoftware Composition Analysis(SCA)ベンダーを含む数百の事業者と協力しながら策定してきたもので、ソフトウェア内のコンポーネントやライセンスなどのメタデータを含み、ライセンス体系や脆弱性など、「SBOM」の共有に広く活用されていると説明。今回あらたにツールやトレーニングを提供することで、さらなる利用の促進を目指す。

具体的には、「SPDX v2.2」に準じたSBOM情報をコマンドラインインターフェースより生成できるツール「SPDX SBOMジェネレーター」を提供。同ツールは、継続的インテグレーション (CI) のパイプラインなど、自動化プロセスに簡単に組み込むことも可能だという。

またソフトウェア開発事業者やオープンソースソフトの関係者、セキュリティ専門家などを対象に、「SBOM」の要件や基礎知識を学んだり、生成ツールについて説明するオンライントレーニング「ソフトウェア部品表の生成(LFC192)」を無料で提供。あわせて「SBOM」を採用する上での障壁や対応など検証する調査を実施していく。

(Security NEXT - 2021/06/21 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「ICTサイバーセキュリティ総合対策2022」の策定に向け意見募集 - 総務省
脆弱性管理避けられぬOSS、経産省が事例集を拡充
2022年1Qの脆弱性届け出は176件 - ソフトとウェブともに増加
2022年1Qの脆弱性DB登録は3780件 - 5四半期ぶりに減少
セキュリティ産業を創出する人材の育成を目指した「SecHack365」 - 個性を伸ばす「しくみ」
ドローン向けにサイバーセキュリティガイドライン - 経産省
ECサイトの情報流出被害、4割で1000万円超 - 責任範囲や技術の理解乏しく
「ProjectWEB」を廃止、脆弱性の件数や詳細は明かさず - 富士通
ECサイトの無償脆弱性診断を希望する中小企業を募集 - IPA
セキュリティ専門家2名や「セキュリティのアレ」に総務大臣奨励賞