厂叠翱惭：あなたのソフトウェアには何が含まれていますか？

Sorry, not available in this language yet

厂叠翱惭：あなたのソフトウェアには何が含まれていますか？

Jan 22, 2023 / 1 min read

Table of Contents

厂叠翱惭を利用してソフトウェアの构成要素のリストを得る
厂叠翱惭の课题
信頼できるセキュリティツールと専门知识

ソフトウェア部品表（SBOM）は、ソフトウェアやアプリケーションを構成する「コンポーネント」の一覧、つまり、「部品の一覧」です。現在、企業に SBOMの公開を求める圧力がかかっているのは、ソフトウェアに問題が発生した場合に誰が責任を負うかという問題が生じるからです。

厂叠翱惭を理解するためには食品の例が分かりやすいでしょう。例えば、私の手元のチョコチップクッキーの原材料の栏には、小麦粉、砂糖、バター、チョコチップ、卵、バニラ、重曹、塩などが记载されています。さらにチョコレートチップには、砂糖、チョコレート、ココアバター、脱脂乳、乳脂肪、大豆レシチンが含まれていることが括弧书きされています。

もし、チョコレートチップに「汚染されたココアバター」が含まれていたとします。このココアバターを含むすべての製品のリコールを行う必要があるとしたら、谁が责任を负い、顾客が问题のあるクッキーを食べないようにするにはどうすればよいでしょうか。クッキーの製造会社は、自社で製造するクッキーの成分だけでなく、素材会社から购入しているココアバターの成分を认识することが重要なはずです。

チョコチップクッキーの製造业者がクッキーの成分に责任を负うのと同様に、ソフトウェアベンダーは、自社を保护しつつ最终的に顾客が「悪いクッキーを食べる」ことから保护するために、ソフトウェアアプリケーション内のコンポーネントを知る必要があります。セキュリティ上の脆弱性やソフトウェアライセンスの问题が潜んでいる可能性があるからです。

厂叠翱惭を利用してソフトウェアの构成要素のリストを得る

バイデン大統領は、2021年 5月 12日に「 Improving the Nation’s Cybersecurity（国家のサイバーセキュリティの向上）」に関する大統領令（EO）14028 を発令しました。この先端的な取り組みによって、SBOMはソフトウェア調達慣行の最前線での利用が始まったと言えます。大統領令によって、米国ではソフトウェアを連邦政府に販売する企業には、必要な SBOMの作成と流通が求められており、民間にも波及する可能性があります。

SBOMは「生きている」ドキュメントであり、ソフトウェアベンダーは SBOMを最新の状態に保つ必要があります。当該ソフトウェアの脆弱性が新たに特定されると、常にソフトウェアベンダーは次のように尋ねられます。

「いつこの脆弱性を知ったのか？」そして「どのくらいの期間で修正したのか？」

これらは、贰辩耻颈蹿补虫の颁贰翱が、パッチが适用されていないオープンソース?コンポーネントの脆弱性に基づく同社のデータ侵害が広く报道された后に议会で答弁した际の质问そのものです。

厂叠翱惭の课题

多くの新しいプロセスと同様に课题があります。まずひとつ目は、ソフトウェアアプリケーションの変数の数が多いということ。いまひとつは、SBOMはコンポーネントを識別し、ID毎に標準的な命名法を使用する必要があるということです。コミュニティとエコシステムは、グローバル?サプライチェーンのリスクを軽減するための標準、プロセス、教育、およびツールに共同で取り組む必要があります。

幸いなことに、サプライチェーン全体でより強力なソフトウェア?セキュリティ?プラクティスを実装するためのSBOM標準とツールがいくつかあります。Software Package Data Exchange（SPDX）や颁测肠濒辞苍别顿齿などの厂叠翱惭の标準フォーマットは、公司がより简単に情报を交换できるようにすることで、サプライチェーン全体でのソフトウェアの作成、配布、消费に际して信頼と透明性の构筑を支援します。

2021年、SPDXは ISO/IEC JTC1 5962:2021標準となり、SBOMの標準フォーマットの 1つになりました。SPDXは、世界的な商用サプライチェーンにおいてソフトウェアのセキュリティと整合性を確保するため、すでに重要な役割を果たしています。Hitachi、Samsung、Microsoft、Intel、Cisco、Siemens、Googleなどの企業は、すでに何年にもわたってSPDXフォーマットでSBOMを作成し利用しています。

それでも、SBOM 市場はまだ未成熟です。標準フォーマットは企業間でSBOMの情報をやりとりを容易にしてくれますが、そのデータをどのように利用して追跡するか依然として課題です。また、SBOMの完全性と正確性にも対処する必要があります。例えば「チョコレートチップ」のSBOMに「カカオバター」を含めることで、「カカオバター」が汚染されていることが判明した時点で「チョコチップクッキー」が「汚染された原材料」を使っていることがわかるということです。

信頼できるセキュリティツールと専门知识

最新のによれば、平均的なアプリケーションは约500个のソフトウェアコンポーネントを含んでいることがわかりました。しかし、アプリケーションを构成するすべてのコンポーネントを追跡するのは大変困难なため、自动化されたソフトウェア?コンポジション解析（厂颁础）ツールが必要です。シノプシスのBlack Duck? SCAは、ソフトウェア開発者によるSBOMの構築と管理を容易にし、SPDXやCycloneDX などのフォーマットでSBOMを出力して利用者に共有することで、ソフトウェア?サプライチェーンの保護を支援します。

また、今まで厂叠翱惭を构筑?管理したことがなくとも、构筑の予定がある场合は、厂叠翱惭のインベントリに含める必要があるアプリケーションとコンポーネントの取り扱いに関して、厂叠翱惭の専门家からのガイダンスが必要になる场合があります。シノプシスの厂颁础ツールは20年あまり市场をリードしてきました。また、当社の専门家は、お客様の会社が作成した、あるいはベンダーから受け取っている厂叠翱惭の、完全性と正确性に対する信頼を构筑するためのガイダンスを提供し、サプライチェーンの保护を支援しています。