Codenotary Previews Secure SBOM Creation Service
2023/04/27 DevOps — 今日、Codenotary が公開したのは、SBOM (Software Bills Of Materials) を作成/保管し、必要に応じて安全に共有するための、集中型リポジトリ・サービスのプレビューである。このサービスについて、Codenotary の CEO である Moshe Bar は、「SBOMCenter は、ソフトウェアのサプライチェーン保護の必要性の高まりにつれて頻繁になる SBOM の作成を、より簡単に運用するのに役立つ」と説明している。彼によると、現時点で無料トライアルとして提供されている SBOMCenter は、改ざんされていないことを保証する方法で、SBOM を作成/保存する機能を備えているという。
SBOM を導入する際には、既存のソフトウェア開発や調達のやり方を変更する必要があり、また、面倒なプロセスになる可能性がある。
SBOMCenter は、複数の SBOM 形式をサポートする不変のオープンソース・データベースと、1行のコードを追加するだけで SBOM を自動的に生成する、同社が開発したツールを使用して、継続的に更新される SBOM にアクセスするためのサービスを提供する。このアプローチにより、新たなゼロデイ脆弱性が発見された場合であっても、プロダクション環境で稼働しているソフトウェア・コンポーネントを、より簡単に特定できるようになるはずだ。
SBOMCenter の、今後のアップデートで追加されるのは、脆弱性スキャン/リスク脆弱性スコアリング/新たに発見された脆弱性に関するアラート/DevOps パイプラインと統合可能なポリシー強制エンジンなどになる予定だという。
バイデン政権の行政命令で、連邦政府機関が来年からあらゆるソフトウェア・プロバイダーに SBOM を要求することが明確になって以来、SBOM の必要性に対する意識は飛躍的に高まっている。
一連の有名なサイバー・セキュリティ侵害事件を受け、ソフトウェアのサプライチェーンの安全性を高めるための大きな取り組みの一環として、多くの企業 IT 組織がこれに続くと思われる。
さらに最近では、ホワイトハウスが発表した国家サイバー・セキュリティ戦略においては、アプリケーションを構築する際にサイバー・セキュリティに関する十分な注意を払わなかった、ソフトウェア開発者に対する責任を強化するよう求められている。
罰則を適用できる法律が、制定されるかどうかは不明だ。しかし、一般的なムードは明らかに、ソフトウェアを構築する組織に対して、発生し得るサイバー・セキュリティ上の問題に対する責任を、より強化する方向へと変化している。
SBOM の実用化に向けて、組織がどの程度進んでいるのかは、まだ明らかになっていない。Gartner は、2025年までに 60%の組織が SBOM を採用すると予測している。理論的には、これらの組織は、検証されていないコンポーネントを持つソフトウェアが、プロダクション環境に導入されるのを防ぎ、また、現時点で稼働しているアプリケーションのうち、重大な欠陥があるものを特定できるようになるはずだ。
いずれにせよ、アプリケーション・プロバイダーは、自社のソフトウェアがどのように構築されているのかを、より多く公表することになるだろう。問題は、知的財産権を尊重した形で、その目標を達成する方法を見つけることだ。
そのため、アプリケーション・プロバイダーは、SBOM の内容が非公開であることを顧客に保証した上で、SBOM を共有する安全な方法を見つける必要がある。結局のところ、有志連合からのちょっとした協力は、異議を唱えられる可能性のある法律よりも、よりポジティブな影響を与える可能性が高いのだ。
このところ、SBOM のあり方や、実際の運用方式について、具体的に指摘してくれる記事が増えたように思えます。その運用に関しても、改ざん防止/知財の保護などの難問が控えていますね。また、2023/04/25 の「SBOM を構築して活用する:そのための第一歩がココにある」では、「標準仕様に準拠し、企業が大規模に相互運用できるような、包括的で正確な SBOM を生成することは困難である」と前置きした上で、Full Monty SBOM という概念を紹介しています。よろしければ、SBOM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.