セキュリティを高める「SBOM」、なぜ利用が進んでいるのか:約8割の組織が2022年に利用を予定
The Linux Foundationはソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials(SBOM) and Cybersecurity Readiness」(ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況)を発表した。SBOMは最近のアプリケーションのおよそ90%がオープンソースソフトウェアを利用しているという状況に沿った解決策だ。
オープンソースを通じたイノベーション促進を目指す非営利組織The Linux Foundation(以下、Linux Foundation)は2022年2月1日(米国時間)、ソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials(SBOM) and Cybersecurity Readiness」(ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況)を発表した。
この調査レポートは、2021年に発令された米国大統領令「国家のサイバーセキュリティの向上」や、ホワイトハウスで最近開催された「Open Source Security Summit」を受けて作成、発表された。Open Source Security Foundation(OpenSSF)やSPDX、OpenChainとの共同発表だ。
ソフトウェアコンポーネントを選ぶ基準は?
Linux Foundationの取り組みは、開発者がどのオープンソースソフトウェアを選択しているのかという基準とも関連している。
調査からは、使用するオープンソースソフトウェアの優先順位を開発者が決める際、最も重視する属性がセキュリティで、次に重視する属性がライセンスコンプライアンスだと分かった。
SBOMとは何なのか、なぜ必要なのか
Linux Foundationによれば、最近のアプリケーションのおよそ90%がオープンソースソフトウェアを利用しているという。つまり、あるアプリケーションのセキュリティを高めるには、そのアプリケーションが利用しているソフトウェアコンポーネントについて、セキュリティ属性はもちろん、品質やライセンスを詳細に説明できなければならない。
関連記事
「ソフトウェアの情報共有の方法を標準化する必要がある」 Linux Foundationがツールやオンライン講座を提供
The Linux Foundationは、SPDXに準拠した新しい業界調査やオンライントレーニング、ツールを発表した。安全なソフトウェア開発に向けてソフトウェア部品表(SBOM)の使用を促進する。
「仮想パッチ」は通常のパッチと何が異なるのか
仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。
Google、OSSパッケージの依存関係を可視化した実験的サービスを発表
Googleはオープンソースプロジェクトの依存関係などを可視化した実験的サービス「Open Source Insights」を提供開始した。「変更のペースが速く、ついていくのが難しい場合がある」「大きなプロジェクトが依存するソフトウェアパッケージが頻繁にアップデートされ、明確な現状把握ができない場合がある」といったOSSの課題を解消するのが目的だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.