SBOM の品質をチェック:米政府基準の最小限要素を満たすものは1%に過ぎない

Chainguard Trains Spotlight on SBOM Quality Problem

2023/01/19 SecurityWeek — ソフトウェア部品表で品質を管理しているソフトウェア・エンジニアが、驚くべき発見をした。現時点で作成されている SBOM のうち、米国政府が定義した「最小限の要素」を満たしているものは、わずか 1% に過ぎないというのだ。ソフトウェア・サプライチェーン・セキュリティの企業である Chainguard の新しいデータによると、既存のツールで生成された SBOM は、ソフトウェアの脆弱性/ライセンス/在庫の追跡を管理するために、SBOM 内で定義されている必要最小限のデータフィールドを満たしていないことが判明した。


Chainguard の Security Data Scientist である John Speed Meyers は、「SBOMのうち、最小限の要素に完全に適合していたものは、わずか 1% だった。この最小限の要素であっても、SBOM にとっては高いハードルであるように思われる。今後において、この基準が高すぎるのか、あるいは、SBOM 生成ツールの進化が必要なのか、基盤となるソフトウェア成果物に必要とされるパッケージ・メタデータが欠けているのかを、さらに研究する必要がある」と説明している。

Chainguard の研究者たちは、一般的な Docker Hub コンテナ・リストにある、4つの SBOM 作成ツールを用いて、分析用に約3,000の SBOM を収集した。そして、NTIAの適合性チェック・ツールを用いて、最小要素に対する SBOM の適合性を測定した。

同チームによると、最小要素のデータフィールドには、各ソフトウェア・コンポーネントに関する情報 (Supplier/Name/Version/Unique ID/Relationships) に加えて、作成者や作成時刻などの SBOM 自体に関するメタデータも含まれる。

Chainguard チームがデータを解析した結果、大半の SBOM でコンポーネントのサプライヤーが特定されていなかった。また、約1,000の SBOM において、すべてのコンポーネントの名前とバージョンが特定されていないことが発見された。

今回の Chainguard の発見により、サプライチェーン攻撃を軽減するための、SBOM の価値と品質に関する継続的な議論に、拍車が掛かることは間違いないだろう。 

大手テクノロジー業界を代表する強力なロビー団体は、すでに政府の SBOM 義務化に強い異議を唱え、現在の SBOM には拡張性も利便性もないため、時期尚早であり実用性は限定的だと主張している。 

ロビー団体である ITI (Amazon/Microsoft/Apple/Google/Intel/AMD/Lenovo/IBM/Cisco/Samsung/TSMC/Qualcomm/Zoom/Palo Alto Networks が有力メンバー) は、現在の SBOM プロセスは未熟だと表現している。 

この団体は、「現時点では、ソフトウェア・メーカーが SBOM を提供するには時期尚早であり、その有用性は限定的である。我々は OMB に対して、アーティファクトの提供形態について理解が深まるまで、また、各機関が要求するアーティファクトの活用形態が整うまで、それぞれの機関によるアーティファクトの要求が生じないことを望む」と述べている。

Chainguard は調査の中で、ITI の反対意見に対して注意を喚起している。その調査結果は、SBOM は「未熟」であり、まだ「消費可能」ではないという皮肉な議論と見なされることを、意図したものではないと警告している。

同社は、「この分析結果は、すでに標準的な SBOM が多くの情報を提供しているが、最小限の要素を満たすには十分でないことを示唆している。さらに、この研究は、SBOMを「どこでも使える」ようにするための推進力は、SBOM の品質を測定して改善する努力を、伴うべきであることを示唆している」と述べている。

Chainguard は、「ツールごとに分析したところ、どのツールも最小限の要素に準拠した SBOM を、一貫して作成することが無理なようだ」と付け加えている。しかし、同社は、SBOM の有用性を否定しないよう注意を促している。「この結果は、SBOM が高品質である場合もあれば、低品質である場合もあることを示唆している」と述べている。

SBOM の義務化は、2022年5月にリリースされた、サイバー・セキュリティに関する大統領令に含まれている。したがって、セキュリティ担当リーダーたちは、その影響を理解し、下流の副作用に備えようと躍起になっている。

SBOM がバズワードに鳴っているのかどうかは分かりませんが、米国の政府筋と民間の間には、かなりのギャップがあるようです。文中の ITI の他にも、2022/12/02 には SBOM 要件の延期を防衛産業の団体が申し出ています。よろしければ、以下の関連情報も、ご参照ください。

2022/06/15:SBOM と脆弱性情報とのマッピングが不可欠
2022/06/06:SBoM 支持の CISA/OpenSSF/OWASP
2022/01/04:Log4j が明らかにした依存関係と SBoM のすすめ

%d bloggers like this: