いかに「SBOM」を関係者間で共有するか - 米CISAがレポート

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、「ソフトウェア部品表（SBOM）」を共有するライフサイクルについてレポートを取りまとめ、公開した。

「SBOM」の生成に関しては議論が行われるようになったが、共有については議論が進んでいないとして、作成者と利用者間における「SBOM」の共有方法について紹介し、組織に応じたソリューションの導入を支援する目的でレポートを取りまとめたもの。

「SBOM共有ライフサイクル」として、利用者が「SBOM」の存在を認識するまでの「発見」、データの参照に対する認可をいかに行うかといった「アクセス」、データを受け渡す「転送」など、作成者から消費者に情報がわたる各フェーズについて説明している。

手動で対応したり、個々で対応を進める原始的な方法から、自動化された洗練された方法まで紹介。「SBOM」の共有にあたり組織に則したソリューションを選択するための情報を提供するとともに、自動化された方法を検討することなども推奨している。

またインタビュー調査を実施し、21組織から得られた回答をもとに取り組み状況を紹介。現状は、メールや非公式なコミュニケーションのもと直接送信するといった方法を採用しているといった回答のほか、既存顧客向けウェブポータルを利用し、ログインした顧客に対して「SBOM」をはじめとする技術情報を提供しているとの回答も寄せられた。

またクラウドや分散型台帳技術を使用し、より高度に非公開でデータを共有するソリューションやサービスの構築に向けた取り組みなどへも言及している。

（Security NEXT - 2023/04/18 ） ツイート

PR

関連記事

「Langflow」にRCE脆弱性 - フロー共有環境に影響
「Joomla」向け編集ツール「JCE」、脆弱性悪用に注意
「MariaDB」に複数脆弱性 - アップデートで修正
「Firefox」にアップデート - 脆弱性40件を修正
フィッシング報告が23％増 - 約9割が独自ドメイン名を利用
机の中に生徒資料を置き忘れ、複数生徒が閲覧 - 大阪府
申込者向けのイベント案内メールで誤送信 - 田村市
ランサムウェア被害が発生、営業活動は継続 - 食創
廃棄端末の内蔵HDDが外部流通、内部に患者情報 - 北海道医療センター
廃棄PCの内蔵HDD、破砕されずに外部流通 - 道がんセンター