New SBOM Hub Helps All Stakeholders in Software Distribution Chain
2023/05/18 SecurityWeek — Lineaje は、SBOM360 Hub という新しいプラットフォームを公開した。このツールは、SBOM (Software Bills of Materials) に関するコンプライアンス成果物を、ソフトウェアの生産者/販売者/消費者が、公開/共有/使用するためのサービスである。SBOM とリンクされた認証アーティファクトの提供に関連して、2023年9月に施行される大統領令 14028 (Executive Order 14028) で定められた、ソフトウェアの生産者/販売者による準拠が、この新しいハブにより推進されると、 Lineaje は述べている。
SBOM360 Hub は、ベンダーから提供される SBOM へのアクセスと評価を、ユーザー組織が行うための、統一された情報交換ツールだ。
このプラットフォームにおいて、ソフトウェアの生産者と販売者は、プライベート・ハブで販売する各製品と SKU に関連する、自己認証フォーム/関連アーティファクトと伴に、認証された SBOM を作成/公開できる。
つまり、ソフトウェアの販売業者や再販業者は、ベンダーに対して SBOM を要求して、その流通チャネルや顧客に提供していくことが可能になる。
SBOM360 Hub に登録したソフトウェアの消費者は、特定のベンダーの SBOM を見つけ出し、ソフトウェアの更新や脆弱性に関する通知を受け取れるようになる。
さらに、消費者とベンダーの間にダイレクトな接点が生じることで、SBOM を要求することが可能となる。具体的に言うと、商用製品に含まれるオープンソース依存関係の、セキュリティ・プロファイルにアクセスできるようになる。
Lineaje は、「ユーザーが検索できる対象としては、自社の SBOM/ベンダーの SBOMに加えて、依存関係チェーン全体における脆弱性/脅威/実績などがある。サプライヤーやプロバイダーがアクセスを許可した、150以上の属性を数秒で検索できる」と述べている。
5月18日時点で、SBOM360 Hub はアーリー・アクセスに対応しており、月に 10件までの SBOM を公開する生産者向けに、無料で提供されている。
SBOM については、何処で何から始まるのだろうかと考えあぐねてしまいますが、この SBOM360 Hub が、具体的な第一歩を示しているように思えます。ただし、大手のベンダーをコアにした複数のグループが立ち上がり、それらの間で綱引きが生じる可能性も否定できません。SBOM が機能し始める前に、また、機能し始めた後にも、さまざまな再編が行われることになるのかもしれません。とはいえ、SBOM360 Hub には期待したいですね。よろしければ、SBOM で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.