IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
ソフトウェア・サプライチェーンの透明性確保のための「SBOM」作成ガイド
急速に発展するテクノロジーに対する適切なセキュリティアプローチのため、今日のソフトウェアには調達段階からの透明性が求められるようになった。米国国立標準技術研究所のガイドラインを基に、SBOMを用いた管理法を紹介する。
コンテンツ情報
| 公開日 | 2022/08/09 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 5ページ | ファイルサイズ | 578KB | ||
要約
テクノロジーが急速に進化する一方、組織はそれに応じたセキュリティプラクティスを実施できず、事後対応で手いっぱいになっている。こうした中で、ソフトウェア部品表(SBOM)による「組成とDNA」の透明性確保が求められている。従来は単なる文書として考えられていたSBOMが、現在ではソフトウェアのインベントリ作成プロセスも含めるようになった。
その目的は、オープンソース使用の効果的な管理や構成要素の可視化、情報伝達方法の標準化にあり、SBOMを「広義の管理システム」として捉えることも推奨される。このSBOMシステムを使用して、オープンソースコンポーネントを特定し、脆弱性データに対応付けるようにする。また、SBOMにはワークフローと通知の機能も求められる。
作成に当たっては、標準化されたSBOMフォーマット採用に加え、ソフトウェア製作者によるファーストパーティーSBOMと利用者によるサードパーティーSBOMの両方の使用が推奨される。本資料ではこのように、米国国立標準技術研究所(NIST)がまとめた「SP 800-161, Revision 1」を基に効果的なSBOM作成における8つの提言を紹介する。
その目的は、オープンソース使用の効果的な管理や構成要素の可視化、情報伝達方法の標準化にあり、SBOMを「広義の管理システム」として捉えることも推奨される。このSBOMシステムを使用して、オープンソースコンポーネントを特定し、脆弱性データに対応付けるようにする。また、SBOMにはワークフローと通知の機能も求められる。
作成に当たっては、標準化されたSBOMフォーマット採用に加え、ソフトウェア製作者によるファーストパーティーSBOMと利用者によるサードパーティーSBOMの両方の使用が推奨される。本資料ではこのように、米国国立標準技術研究所(NIST)がまとめた「SP 800-161, Revision 1」を基に効果的なSBOM作成における8つの提言を紹介する。