ソフトウェアのサプライチェーンリスク対策でSBOM利用を促進 - Linux Foundation

Linux Foundationは、サプライチェーンにおけるセキュアなソフトウェアの流通に向けて「ソフトウェア部品表（SBOM）」の活用を促すため、同団体のプロジェクトが策定するフォーマット「SPDX」の導入を支援する施策を発表した。

5月にBiden米大統領が署名したサイバーセキュリティに関する大統領令では、ソフトウェアにおけるサプライチェーン保護の重要性が示され、内包するコンポーネントなどソフトウェアのライセンスや脆弱性を示す「ソフトウェア部品表（SBOM）」の提供などへ言及したことを受けて、「SPDX（Software Package Data Exchange）」形式の導入について推進を図るもの。

同フォーマットは、これまでも主要なSoftware Composition Analysis（SCA）ベンダーを含む数百の事業者と協力しながら策定してきたもので、ソフトウェア内のコンポーネントやライセンスなどのメタデータを含み、ライセンス体系や脆弱性など、「SBOM」の共有に広く活用されていると説明。今回あらたにツールやトレーニングを提供することで、さらなる利用の促進を目指す。

具体的には、「SPDX v2.2」に準じたSBOM情報をコマンドラインインターフェースより生成できるツール「SPDX　SBOMジェネレーター」を提供。同ツールは、継続的インテグレーション (CI) のパイプラインなど、自動化プロセスに簡単に組み込むことも可能だという。

またソフトウェア開発事業者やオープンソースソフトの関係者、セキュリティ専門家などを対象に、「SBOM」の要件や基礎知識を学んだり、生成ツールについて説明するオンライントレーニング「ソフトウェア部品表の生成（LFC192）」を無料で提供。あわせて「SBOM」を採用する上での障壁や対応など検証する調査を実施していく。

（Security NEXT - 2021/06/21 ） ツイート

PR

関連記事

「SOAR」を展開する印Anlyzを買収 - トレンド
人材育成ハッカソン「SecHack365」、都内で成果発表会
米政府、ランサムウェア「ESXiArgs」の復旧ツール - 十分理解して使用を
メタバース活用におけるセキュリティを考えるオンラインイベント - JSSECら
脆弱性DB「JVN iPedia」の4Q登録数 - 前四半期から減少
MS＆ADと米インシュアテック企業、サイバーリスク可視化で共同開発
2022年4Qの脆弱性届出 - ソフトとサイトいずれも減少
国内企業の4割がCISOを設置 - 経営層の専任は2.9％
CSIRT人材の育成方法をまとめた資料を公開 - 日本シーサート協議会
富士通、セキュリティ研究でイスラエルに新拠点 - 国内からも人材派遣