サプライチェーンセキュリティの改善に向けたSBOMへの需要の高まりに対応
2021年6月17日 サンフランシスコ発 ー オープンソースを通じた大規模イノベーションの実現に取り組む非営利団体Linux Foundationは、安全なソフトウェア開発におけるソフトウェア部品表 (SBOM) の使用を促進するために、SPDX業界標準に準拠した新しい業界調査、トレーニング、ツールを発表しました。
Linux Foundationは、以下を用いることでソフトウェア サプライチェーンを保護するためのSBOMプラクティスの導入を加速させます。
- SBOM標準 : 要件とデータ共有のデファクトスタンダードであるSPDXの管理
- SBOM調査 : ベンチマークとベストプラクティスを確立するために、業界プラクティスの現状を明らかにする調査
- SBOMトレーニング : 導入を促進するためにSBOM生成に関する新コースを提供
- SBOMツール : 開発チームが自社のアプリケーション向けのSBOMを生成できるツール
Linux Foundationのプロジェクト担当シニア バイスプレジデント兼ゼネラル マネージャーであるMike Dolanは、次のように述べています。
「今日のデジタル インフラストラクチャのアーキテクトとして、オープンソース コミュニティは公共/民間セクター問わずSBOMの理解と採用を促進する立場にあります。サイバーセキュリティの脅威の高まりにより、オープンソース コミュニティが何年も前から予測していたように、ソフトウェア内の情報を共有する方法を標準化する必要性が生じています。今こそ、SBOMの採用と生成方法についての理解を深め情報に基づいて行動できるよう、新たなデータを詳らかにし、リソースを提供することが急務となっています。」
モダン アプリケーションの90%は、オープンソース ソフトウェア コンポーネントで構成されています。SBOMは、アプリケーションに含まれるオープンソース ソフトウェア コンポーネントについて、品質、ライセンス、セキュリティ属性を詳細に説明するものです。SBOMは、開発者がソフトウェア サプライチェーン全体でどのコンポーネントが存在するかを理解し、問題とリスクを事前に特定し、修復の開始点を確立するために使用されます。
最近の米国大統領による「国家サイバーセキュリティ改善に関する大統領令」では、ソフトウェア サプライチェーンの保護と安全におけるSBOMの重要性について言及しています。国家通信情報管理局 (NTIA) は、この命令を受けて、最低限のSBOM要件を定義するために幅広い意見を求めました。Linux Foundationは、NTIAのSBOMに関する質問に対してこのように回答しています。
SPDX: SBOMデファクトオープンスタンダード
SPDX (Linux Foundationプロジェクト) は、オープンソース ソフトウェア コンポーネント、ライセンス、既知のセキュリティ脆弱性など、SBOM情報を伝えるためのデファクトオープンスタンダードです。SPDXは、主要なSoftware Composition Analysis (SCA) ベンダーを含む数百の企業と協力することにより、過去10年間有機的に進化し、市場で最も堅牢で成熟したSBOM標準として採用されています。
SBOM採用準備調査
Linux Foundation Researchは、SBOM採用準備調査を実施しています。この調査では、ソフトウェアのサプライチェーンのセキュリティに関連して、SBOM採用への障壁と、それを克服するために必要な将来のアクションを検証します。米国のサイバーセキュリティ改善に関する大統領令ではSBOMが強調されていますが、今回の調査では、SBOM適用における業界のギャップを特定するのに役立ちます。調査のアンケートは、ツール、セキュリティ対策、SBOMの生成と消費をリードする業界に関するトピックに対応しています。
新オンラインコース : Generating a Software Bill of Materials (ソフトウェア部品表の生成)
Linux Foundationは、無料のオンライン トレーニングコース「Generating a Software Bill of Materials (LFC192) : ソフトウェア部品表の生成」(LFC192)を発表しました。このコースでは、SBOM生成に使用できるオプションとツール、およびそれらを使用してサイバーセキュリティのニーズに対応する能力を向上させる方法についての基礎知識を学習します。ソフトウェア開発企業のディレクター、プロダクトマネージャー、オープンソース プログラム オフィスのスタッフ、セキュリティ専門家、開発者を対象としています。受講者は、最低限として求められるSBOM要件を理解し、それらを組み立てる方法、およびSBOMの生成と消費をサポートするために利用できるいくつかのオープンソース ツールについて学習します。
新ツール : SBOMジェネレーター
コマンドライン インターフェース (CLI) を使用してSBOM情報を生成するSPDX SBOMジェネレーターの提供を開始しました。SBOM情報は、SPDX v2.2仕様を使用したアプリケーションのコンポーネント、ライセンス、コピーライト、セキュリティ リファレンスを含み、NTIAが最近公表した最小要件に準拠します。現在CLIはGoMod (go)、Cargo(Rust)、Composer (PHP)、DotNet (.NET)、Maven (Java)、NPM (Node.js)、Yarn (Node.js)、PIP(Python)、Pipenv (Python)、 Gems (Ruby) をサポートしています。継続的インテグレーション (CI) パイプラインなどの自動化プロセスに簡単に組み込むことができ、Windows、macOS、Linuxに対応しています。
参考資料
- What is an SBOM?
- Build an SBOM training course
- Free SBOM tool and APIs
Linux Foundationについて
2000年に設立されたLinux Foundationは、1,500を超えるメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラに必要不可欠な存在です。Linux Foundationは、ベスト プラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページでご確認いただけます。
Linux は Linus Torvalds の登録商標です。