ソフトウェアセキュリティ、サプライチェーンリスク管理のためのネストされた在庫

ネストされた在庫' for software security and supply chain risk management.

高いプロファイルのデータ侵害のようなKaseyaやApache Log4jのようなものは、今まで以上にソフトウェア供給チェーンのセキュリティが注目されています。これにより、バイデン政権の2021年の改善国家サイバーセキュリティに関する行政命令が促進され、開発者にソフトウェア資材（SBOM）の提供を求めています。

SBOMは、レシピの材料のようなものと考えることができます。ソフトウェアアプリケーションを作成するために使用されるすべてのコンポーネントとライブラリで構成されています。ライセンス、バージョン、著者、パッチステータスの説明を含みます。

これらのコンポーネントの多くはオープンソースであり、SBOMはリスクや脆弱性の可視化を提供することを目的としています。なぜなら、保護しているコードがわからない場合、それを維持することはできないからです。

SBOMの役割

• ソロプレナーズ向けの11の最高のAIツール（究極のAIツールキット）
• ハッピーな1周年 🤗 ディフューザーズ！
• AIがあなたのように文章を書く方法（クロード2のチュートリアル）

組織がこの可視性を持つと、既知のまたは新興の脆弱性やリスクをよりよく特定し、セキュリティを設計に組み込み、ソフトウェア供給チェーンのロジスティクスと調達の問題についての情報を得ることができます。Booz Allen Hamiltonによれば、「洗練された脅威行為者は、サプライチェーン攻撃を悪意のあるサイバー活動の手段としてますます重要視しています」とのことです。

市場調査会社ガートナーによれば、2025年までに、重要なインフラソフトウェアを構築または調達している組織の60%が、ソフトウェアエンジニアリングの実践においてSBOMを義務付け、標準化するようになると予想されています。これは、2022年の20%未満からの増加です。

ガートナーのリサーチバイスプレジデントであるManjunath Bhatは、「多くの要素がSBOMの必要性を推進しています。それらの要因には、サードパーティの依存関係とオープンソースソフトウェアの使用の増加、ソフトウェア供給チェーン攻撃の増加、およびOSSの使用を安全にするための規制の遵守義務が含まれます」と述べています。

彼はまた、「SBOMの完全なソフトウェア供給チェーンへの細かい可視性と透明性が価値を高めています」と述べています。

SBOMの要素

国家電気通信情報局（NTIA）と米国商務省は、SBOMの最小要素と供給チェーンの透明性を向上させるためのユースケースの説明を公開するように指示されました。

彼らは、サプライヤー、コンポーネント名、バージョン、および依存関係の関係などのデータフィールドが存在するべきだと述べています。

また、SBOMを生成するための自動データ生成と機械読み取り機能があることを推奨しており、一般的に受け入れられているSBOM生成のための3つの形式があります：SPDX、CycloneDX、およびSWIDタグです。

SBOMは自動化ワークフローの一部として設計されています。「したがって、データ形式の標準化と相互運用性が重要になります」とBhatは指摘しています。

彼はまた、「SBOM内のデータフィールドには、ソフトウェアコンポーネントを一意かつ明確に識別し、それらの相互関係を示す要素が含まれています」と述べています。具体的には、コンポーネント名、サプライヤー名、コンポーネントバージョン、一意の識別子（おそらくデジタル署名または暗号ハッシュ）、および依存関係です。

自動化されたダイナミックなSBOMプラットフォームは理想的です。これにより、ソフトウェア開発者はアプリケーションで使用するコンポーネントと依存関係の正確なビューを継続的に更新できます。

SBOMの活用方法

SBOMの活用方法には、いくつかの良いユースケースがあります。具体的には、以下のようなものがあります：

• コンプライアンスの問題を減らし、重複購入を防ぐためのソフトウェアの調達と採用の意思決定を支援すること。
• 侵害されたコンポーネントと修復計画を追跡することにより、脅威インテリジェンスと脆弱性管理を向上させること。
• インシデント対応を加速し、パッチの実装をガイドすること。
• 組織のエコシステムと外部ソフトウェアエコシステム間の依存関係をマッピングする能力を提供すること。

Bhatは、SBOMには実質的なデメリットはないと述べていますが、「それらは包括的で完全かつ正確である限りにおいてのみ有用です。部分的に完全なSBOMや陳腐化したSBOMは、まったくSBOMを持っていないのと同じくらいです」と指摘しています。さらに、「私たちとしては、いくつかの簡単に作成および消費できるSBOM形式に収束することが重要です」と述べています。

SBOM（Software Bill of Materials）は、組織間でソフトウェアコンポーネントとそのサプライチェーンの関係の詳細を追跡し共有するために設計されており、これにより透明性、監査可能性、トレーサビリティが向上し、セキュリティとコンプライアンスの問題の解決を迅速化することができます。

「SBOMは、ソフトウェアコンポーネントに既知のセキュリティ脆弱性が存在する可能性があるかどうかを組織が判断するのにも役立ちます」と彼は述べています。「SBOMは、コードの由来やコンポーネント間の関係についての情報を生成し、検証するため、ソフトウェアエンジニアリングチームが開発中に悪意のある攻撃を検出するのに役立ちます。」

SBOMの使用

Microsoftは、ソフトウェアのセキュリティを優先し、顧客にソフトウェアを提供するために、SBOMを生成し使用していると、Microsoftのセキュアソフトウェアサプライチェーン（S3C）の主任プログラムマネージャーであるAdrian Diglio氏は述べています。

このソフトウェア大手は、開発者がビルド時に内部で実行するSBOMツールを作成し、SPDX形式でSBOMを出力して顧客と共有しています。また、昨年、MicrosoftはSBOMツールをオープンソース化し、コミュニティが利用し、さらに開発することを可能にしました。

現在、「Microsoftは、サードパーティからのSBOMを消費および管理するために会社全体で必要な組織的な準備を行っています」と彼は述べています。「この取り組みの一環として、Windows Insiderプログラムの参加者にはWindows Driver Kit（WDK）およびWindows Assessment and Deployment Kit（ADK）の早期バージョンが提供されており、SBOMツールが含まれています。」

また、一部のSBOM製品は一般に公開されているとDiglio氏は付け加えています。

「SBOMツールとセキュアサプライチェーン消費フレームワーク（S2C2F）との連携を通じて、Microsoftはセキュリティに対処するためにオープンソースソフトウェアの重要性を繰り返し強調しています」と彼は述べています。

Esther Sheinは、ボストン地域を拠点とするフリーランスのテクノロジーおよびビジネスライターです。

We will continue to update VoAGI; if you have any questions or suggestions, please contact us!