脆弱性の誤検知を排除、正確なSBOMも容易に生成できるセキュリティ手段とは

　HPCやIoTなどの幅広い分野で採用される最先端サーバメーカー、Supermicro。その継続的な成長と成功には、かねてソフトウェアセキュリティの強化が求められてきた。このため、同社はさまざまなソースコードスキャンツールを使用していたが、開発チームや外部のサードパーティープロバイダーに頼ることが多く、多数の誤検出にも悩まされてきた。

　求められたのは、ファームウェアを迅速にスキャンし、顧客向けに正確なSBOMを生成し、セキュリティやコンプライアンスのリスクを検出できるセキュリティだ。この手段を探した同社が見つけたのは、まさにこのニーズを満たすソリューションだった。

　プロセスの初期段階からリスクを軽減できる他、セキュリティとコンプライアンスのテストを自動化し、開発に組み込むことも容易になった。おかげでセキュリティ、開発、コンプライアンスの各チーム間のコミュニケーションを合理化し、各チームの工数も節約できたという。本資料では、同社の事例からソフトウェア開発プロセスにコンプライアンスとセキュリティテストを統合する効率的な手段を探る。