誰もが利用するOSSのリスクをSBOMで回避、脆弱性管理のベストプラクティスとは

　コストを抑制しつつ開発効率を高められ、さらにベンダーロックインの回避にも役立つオープンソースソフトウェア（OSS）。近年は多くのユーザーや、大手企業自身の開発参画による改良で安定性や品質も向上しており、ある調査ではオープンソースを含むコードベースの割合が96％に上るなど、OSSの利用は今や“当たり前”という状況になっている。

　その一方でリスクも顕在化しつつある。OSSの脆弱性を狙う攻撃は増加しており、また使用後にライセンスの競合が見つかるなど、コンプライアンスに問題を抱えるケースも散見される。特に、開発が活発にされていないOSSほど、こうしたリスクは高まる。

　本資料では、vsftpd 2.3.4のバックドアに関する脆弱性など、実際のインシデント事例を複数紹介した上で、これらを回避するためにはSBOM（ソフトウェア部品表）の導入が不可欠であると提起する。さらに、ソフトウェアサプライチェーンが複雑化する中で迅速にSBOMを作成する方法や、そこに含まれる脆弱性を素早く把握する方法など、OSS管理のベストプラクティスについても詳しく解説する。