「Kubernetes」の脆弱性をSBOMで特定、Googleが詳細な手法を公開:利用中のOSSの脆弱性を調べるには
GoogleがSBOMの活用事例を公開した。オープンソースツールを使って、「Kubernetes」のSBOMを「Open Source Vulnerabilities」データベースと照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介した。
Googleは2022年6月14日(米国時間)に公開したブログ記事で、SBOM(Software Bill of Materials:ソフトウェア部品表)の活用事例を発表した。オープンソースツールを使って、「Kubernetes」のSBOMをオープンソースプロジェクトの脆弱(ぜいじゃく)性データベース「Open Source Vulnerabilities」(OSV)と照合し、Kubernetesの構成要素に含まれる脆弱性を特定したプロセスを紹介している。
米国では、2021年の米国大統領令「国家のサイバーセキュリティの向上」の発令や、米国標準技術局(NIST)による「Secure Software Development Framework」(安全なソフトウェア開発フレームワーク)の発表を受け、SBOMの導入機運が高まっている。
SBOMは、「特定のソフトウェアのリスクを判断するには、他社が作成したものも含めて、そのソフトウェアの全ての構成要素を把握することが不可欠だ」という考え方に基づいている。ソフトウェアの脆弱性リスクの管理に役立つことが目的だ。
SBOMを活用してこのようなリスク管理に役立てるには、あるソフトウェアのSBOMが利用可能になった時点で、既知の脆弱性のリストにマッピングすればよい。そのソフトウェアの構成要素の中に、脅威をもたらすものがあるかどうか、そのリスクや問題を修正する必要があるかどうかが分かるからだ。
SBOMを一般的な脆弱性データベースと照合する際には、まだ制限があるが、それは比較的小さなものであり、SBOM作成者がそうした制限に対処する措置を取れば、平均的なソフトウェア利用者がSBOMを容易に活用できるようになると、Googleは述べている。
どうやってKubernetesのSBOMから脆弱性をあぶり出したのか
Kubernetesプロジェクトは、SBOM情報を伝達するための国際オープン標準(ISO/IEC JTC1標準)であるSPDX(Software Package Data Exchange)形式を使って、SBOMを公開している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
セキュリティを高める「SBOM」、なぜ利用が進んでいるのか
The Linux Foundationはソフトウェアの再利用に関する課題について調査したレポート「The State of Software Bill of Materials(SBOM) and Cybersecurity Readiness」(ソフトウェア部品表《SBOM》とサイバーセキュリティへの対応状況)を発表した。SBOMは最近のアプリケーションのおよそ90%がオープンソースソフトウェアを利用しているという状況に沿った解決策だ。
Linux Foundationが調査レポート「SBOMとサイバーセキュリティへの対応状況」を公開
The Linux Foundation Japanは、調査レポート「SBOM(ソフトウェア部品表)とサイバーセキュリティへの対応状況」を公開した。SBOMの採用の度合いと、オープンソース全体のサイバーセキュリティの改善に向けたSBOMの重要性について述べているという。
米国政府がゼロトラスト採用へ
米国行政管理予算局(OMB)は、「米国政府のゼロトラストサイバーセキュリティ原則への移行」と題する覚書を発表した。米国政府のゼロトラストアーキテクチャ(ZTA)戦略を説明したもので、各省庁に2024年度末までに、特定のサイバーセキュリティ基準と目標の達成を求めている。