SBOM Lifecycle:CISA が分析する発見/アクセス/転送の各フェーズとは?

What to Know About the CISA Software Bill of Materials Sharing Lifecycle Phases

2023/06/20 SecurityBoulevard — Software Bill of Materials (SBOM) を採用するための取り組みが、成熟へ向けて動き出している。先日に Cybersecurity and Infrastructure Security Agency (CISA) が発表した報告書では、SBOM 共有ライフサイクルの各フェーズを実施するための、時間/リソース/専門知識/労力/ツールへのアクセス量をベースにした、適切な SBOM 共有プラットフォームを選択する際の指針が示されている。

このライフサイクルには、Discovery (発見)、Access (アクセス)、Transport (転送) という、3つの段階がある。Discovery (発見) は、利用者が SBOM の場所の特定に用いられる段階である。Access (アクセス) は、プロバイダが設定した認可要件をユーザーが満たす段階だ。そして、認可が与えられた後に、Transport (転送) の段階へと至る。


利用者が、SBOM のエンドユーザーになる場合もある。その場合には、SBOM の Transport (転送) 段階の後に、このサイクルが完了すると CISA は述べている。しかし、利用者が、下流の作成者となる可能性もある。その場合には、Enrichment Activity を実行し、SBOM への情報の追加や、新しい製品の作成などが可能になる。たとえば、対象となるデータを別の SBOM に組み込み、その内部コンポーネントに関する情報を拡張するような場合である。その後に、下流の作成者とのび共有フェーズが再び始まる。

このライフサイクル段階の詳細を見てみよう。

CISA Software Bill of Materials (SBOM) ライフサイクル・フェーズ

Discovery:発見

このライフサイクルは、作成者またはプロバイダから提供される SBOM の存在を、利用者が知る方式を決定するところから始まる。たとえば、ベンダーの Web サイトまたはソフトウェアのソースコード内の、特定の場所を通じて行われる可能性がある。この報告書は、ステークホルダーの洗練度に関して、低中高のレンジで例を挙げ、さらに詳しく説明している。

洗練度が低の場合の実装例としては、利用者が SBOM の存在と入手方法を知るために、作者に電子メールを送るという例が挙げられている。洗練度が中の実施例としては、新しい SBOM をアナウンスするために、プロバイダーが電子メール配信リストを作成する場合が挙げられている。

後者の例でも、依然として電子メールが利用されるが、利用者は新しい SBOM について問い合わせる必要がなくなる。このプロセスは個別化されておらず、過去の SBOMS 情報が提供されない場合があり、また、配信リストに関連性のない情報が流れる可能性もある。

高度なアプローチでは、プロバイダーが作成する電子メール配信リストにより、新しい SBOM に関心のあるユーザーへのアナウンスが行われ、利用者は新しい SBOM について問い合わせる必要がなくなる。しかし、この報告書では、そのためのプロセスは特定されていない。つまり、配信リストの各メンバーに対して、SBOM とは関係のない情報が配信される可能性があること、また、過去の SBOMSや情報が提供されない可能性が指摘されている。

Access:アクセス

SBOM の所在地が判明したら、次のステップはデータへのアクセスを得ることだ。ここでも、また、さまざまな洗練のレベルがある。洗練度が低い例では、プロバイダーが利用者からの電子メールによる要求に応答する際に、プロバイダーが SBOM への要求を手作業で吟味する。洗練度が中程度の例では、ログイン・ポータルの使用とアカウント作成が手動で審査される。高度な実施例としては、アカウント作成プロセスを自動化する、ログイン・ポータルの使用が考えられる。そうなれば、手作業を回避した、自動化された方法で、利用者はアクセスを得る。

Transport:転送

利用者が必要な権限とアクセス権を得ると、SBOM 共有ライフ・サイクルの Transport (転送) の段階へと入っていく。ここでは、SBOM データの参照/ダウンロードなどが可能になる。

洗練度の低い Transport (転送) の方法では、プロバイダが SBOM を要求する人々に対して、電子メールの添付ファイルなどを用いて、プロバイダーから SBOM が送信される。中程度の転送方法は、HTTPS などの使用を意味する。高度なものは API 利用であり、存在の保証/一貫性/反復可能が確保されるべきである。

CISA Report Part_2 では、ステークホルダーが SBOM を共有する方式について、CISA が実施した調査の結果を紹介されるようだ。

この CISA の SBOM ガイダンスを紹介する記事は、とても分かりやすくて良いですね。SBOM の探し方から、その利用方法へと至るプロセスが、普通の言葉で語られています。Rezilion に感謝ですね。よろしければ、SBOM で検索も、ご利用ください。