ソフトウェアのサプライチェーンリスク対策でSBOM利用を促進 - Linux Foundation
Linux Foundationは、サプライチェーンにおけるセキュアなソフトウェアの流通に向けて「ソフトウェア部品表(SBOM)」の活用を促すため、同団体のプロジェクトが策定するフォーマット「SPDX」の導入を支援する施策を発表した。
5月にBiden米大統領が署名したサイバーセキュリティに関する大統領令では、ソフトウェアにおけるサプライチェーン保護の重要性が示され、内包するコンポーネントなどソフトウェアのライセンスや脆弱性を示す「ソフトウェア部品表(SBOM)」の提供などへ言及したことを受けて、「SPDX(Software Package Data Exchange)」形式の導入について推進を図るもの。
同フォーマットは、これまでも主要なSoftware Composition Analysis(SCA)ベンダーを含む数百の事業者と協力しながら策定してきたもので、ソフトウェア内のコンポーネントやライセンスなどのメタデータを含み、ライセンス体系や脆弱性など、「SBOM」の共有に広く活用されていると説明。今回あらたにツールやトレーニングを提供することで、さらなる利用の促進を目指す。
具体的には、「SPDX v2.2」に準じたSBOM情報をコマンドラインインターフェースより生成できるツール「SPDX SBOMジェネレーター」を提供。同ツールは、継続的インテグレーション (CI) のパイプラインなど、自動化プロセスに簡単に組み込むことも可能だという。
またソフトウェア開発事業者やオープンソースソフトの関係者、セキュリティ専門家などを対象に、「SBOM」の要件や基礎知識を学んだり、生成ツールについて説明するオンライントレーニング「ソフトウェア部品表の生成(LFC192)」を無料で提供。あわせて「SBOM」を採用する上での障壁や対応など検証する調査を実施していく。
(Security NEXT - 2021/06/21 )
ツイート
関連リンク
PR
関連記事
Android 14の変更点をカバー - セキュアコーディングガイド新版
警察庁が開発した「Lockbit」復旧ツール、複数被害で回復に成功
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
JSSEC、3月に「セキュリティフォーラム2024」開催 - 「生成AI」などテーマに
約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委
ネット偽情報対策の取り組みに関する意見を募集 - 総務省
SecHack365の成果発表会を3月に開催 - ワークショップなども
脆弱性の届出が大幅増 - ウェブサイト関連は前四半期比2.2倍に
2023年4Qの「JVN iPedia」登録、前四半期の約1.6倍に
バグハンターとの信頼を醸成 - サイボウズが4年ぶりに合宿イベント