GoogleがSBOMの活用事例を公開した。オープンソースツールを使って、「Kubernetes」のSBOMを「Open Source Vulnerabilities」データベースと照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleは2022年6月14日(米国時間)に公開したブログ記事で、SBOM(Software Bill of Materials:ソフトウェア部品表)の活用事例を発表した。オープンソースツールを使って、「Kubernetes」のSBOMをオープンソースプロジェクトの脆弱(ぜいじゃく)性データベース「Open Source Vulnerabilities」(OSV)と照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介している。
米国では、2021年の米国大統領令「国家のサイバーセキュリティの向上」の発令や、米国標準技術局(NIST)による「Secure Software Development Framework」(安全なソフトウェア開発フレームワーク)の発表を受け、SBOMの導入機運が高まっている。
SBOMは、「特定のソフトウェアのリスクを判断するには、他社が作成したものも含めて、そのソフトウェアの全ての構成要素を把握することが不可欠だ」という考え方に基づいている。ソフトウェアの脆弱性リスクの管理に役立つことが目的だ。
SBOMを活用してこのようなリスク管理に役立てるには、あるソフトウェアのSBOMが利用可能になった時点で、既知の脆弱性のリストにマッピングすればよい。そのソフトウェアの構成要素の中に、脅威をもたらすものがあるかどうか、そのリスクや問題を修正する必要があるかどうかが分かるからだ。
SBOMを一般的な脆弱性データベースと照合する際には、まだ制限があるが、それは比較的小さなものであり、SBOM作成者がそうした制限に対処する措置を取れば、平均的なソフトウェア利用者がSBOMを容易に活用できるようになると、Googleは述べている。
Kubernetesプロジェクトは、SBOM情報を伝達するための国際オープン標準(ISO/IEC JTC1標準)であるSPDX(Software Package Data Exchange)形式を使って、SBOMを公開している。
Copyright © ITmedia, Inc. All Rights Reserved.