本記事はサイバー・セキュリティに関するニュースを集めた情報サイト 「IoT OT Security News」に掲載されている情報から セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2022/06/15 DarkReading — Software bills of materials (SBOMs) は、製品を構築するために使用されるコンポーネント/モジュール/ライブラリの詳細なリストであり、消費者のためのサプライチェーンにおけるサイバー・セキュリティ・リスクを低減する方法として、National Institute of Standards and Technology (NIST) や米国の規制当局により支持されている。
しかし、Google の Open Source Security Team は、SBOM を使用するだけでは弱点の露出を評価するための有効なツールにはならないと、今日のブログ投稿で指摘している。むしろ、既知のソフトウェアの欠陥を特定するためには、既知の脆弱性に関するデータベースとドキュメントを比較する必要がある。この研究チームは、「この2つの情報源を結びつけることで、消費者は自分のソフトウェアに何が入っているかだけではなく、そのリスクや問題を修正する必要があるかどうかも知ることができる」と説明している。
Google のアナリストたちは、Open Source Vulnerabilities (OSV) データベースを用いて、Kubernetes SBOM ドキュメントをマッピングした方法を詳述している。OSV データベースは、Github Advisory Database (GHSA) や Global Security Database (GSD) を含む、複数のデータベース間での比較の標準化されたフォーマットと、Python/Golang/Rust といった複数のエコシステムにまたがる、集約されたデータの両方を提供していると述べている。