Linux Foundation、サイバーセキュリティを向上させるソフトウェア部品表 (SBOM) の業界標準、調査、トレーニング、ツールを発表
PR TIMES / 2021年6月18日 13時15分
サプライチェーンセキュリティの改善に向けたSBOMへの需要の高まりに対応
オープンソースを通じた大規模イノベーションの実現に取り組む非営利団体Linux Foundationは6月17日 (米国時間)、安全なソフトウェア開発におけるソフトウェア部品表 (SBOM) の使用を促進するために、SPDX業界標準に準拠した新しい業界調査、トレーニング、ツールを発表しました。
2021年6月17日 サンフランシスコ発 ー オープンソースを通じた大規模イノベーションの実現に取り組む非営利団体Linux Foundationは、安全なソフトウェア開発におけるソフトウェア部品表 (SBOM) の使用を促進するために、SPDX業界標準に準拠した新しい業界調査、トレーニング、ツールを発表しました。
Linux Foundationは、以下を用いることでソフトウェア サプライチェーンを保護するためのSBOMプラクティスの導入を加速させます。
SBOM標準 : 要件とデータ共有のデファクトスタンダードであるSPDXの管理
SBOM調査 : ベンチマークとベストプラクティスを確立するために、業界プラクティスの現状を明らかにする調査
SBOMトレーニング : 導入を促進するためにSBOM生成に関する新コースを提供
SBOMツール : 開発チームが自社のアプリケーション向けのSBOMを生成できるツール
Linux Foundationのプロジェクト担当シニア バイスプレジデント兼ゼネラル マネージャーであるMike Dolanは、次のように述べています。
「今日のデジタル インフラストラクチャのアーキテクトとして、オープンソース コミュニティは公共/民間セクター問わずSBOMの理解と採用を促進する立場にあります。サイバーセキュリティの脅威の高まりにより、オープンソース コミュニティが何年も前から予測していたように、ソフトウェア内の情報を共有する方法を標準化する必要性が生じています。今こそ、SBOMの採用と生成方法についての理解を深め情報に基づいて行動できるよう、新たなデータを詳らかにし、リソースを提供することが急務となっています。」
モダン アプリケーションの90%は、オープンソース ソフトウェア コンポーネントで構成されています。SBOMは、アプリケーションに含まれるオープンソース ソフトウェア コンポーネントについて、品質、ライセンス、セキュリティ属性を詳細に説明するものです。SBOMは、開発者がソフトウェア サプライチェーン全体でどのコンポーネントが存在するかを理解し、問題とリスクを事前に特定し、修復の開始点を確立するために使用されます。
最近の米国大統領による「国家サイバーセキュリティ改善に関する大統領令」では、ソフトウェア サプライチェーンの保護と安全におけるSBOMの重要性について言及しています。国家通信情報管理局 (NTIA) は、この命令を受けて、最低限のSBOM要件を定義するために幅広い意見を求めました。Linux Foundationは、NTIAのSBOMに関する質問に対してこのように ( https://www.linuxfoundation.org/blog/what-is-an-sbom/ ) 回答しています。
SPDX: SBOMデファクトオープンスタンダード
SPDX (Linux Foundationプロジェクト) は、オープンソース ソフトウェア コンポーネント、ライセンス、既知のセキュリティ脆弱性など、SBOM情報を伝えるためのデファクトオープンスタンダードです。SPDXは、主要なSoftware Composition Analysis (SCA) ベンダーを含む数百の企業と協力することにより、過去10年間有機的に進化し、市場で最も堅牢で成熟したSBOM標準として採用されています。
SBOM採用準備調査
Linux Foundation Researchは、SBOM採用準備調査を実施しています。この調査では、ソフトウェアのサプライチェーンのセキュリティに関連して、SBOM採用への障壁と、それを克服するために必要な将来のアクションを検証します。米国のサイバーセキュリティ改善に関する大統領令ではSBOMが強調されていますが、今回の調査では、SBOM適用における業界のギャップを特定するのに役立ちます。調査のアンケートは、ツール、セキュリティ対策、SBOMの生成と消費をリードする業界に関するトピックに対応しています。
新オンラインコース : Generating a Software Bill of Materials (ソフトウェア部品表の生成)
Linux Foundationは、無料のオンライン トレーニングコース「Generating a Software Bill of Materials (LFC192) : ソフトウェア部品表の生成」(LFC192)を発表しました。このコースでは、SBOM生成に使用できるオプションとツール、およびそれらを使用してサイバーセキュリティのニーズに対応する能力を向上させる方法についての基礎知識を学習します。ソフトウェア開発企業のディレクター、プロダクトマネージャー、オープンソース プログラム オフィスのスタッフ、セキュリティ専門家、開発者を対象としています。受講者は、最低限として求められるSBOM要件を理解し、それらを組み立てる方法、およびSBOMの生成と消費をサポートするために利用できるいくつかのオープンソース ツールについて学習します。
新ツール : SBOMジェネレーター
コマンドライン インターフェース (CLI) を使用してSBOM情報を生成するSPDX SBOMジェネレーターの提供を開始しました。SBOM情報は、SPDX v2.2仕様を使用したアプリケーションのコンポーネント、ライセンス、コピーライト、セキュリティ リファレンスを含み、NTIAが最近公表した最小要件に準拠します。現在CLIはGoMod (go)、Cargo(Rust)、Composer (PHP)、DotNet (.NET)、Maven (Java)、NPM (Node.js)、Yarn (Node.js)、PIP(Python)、Pipenv (Python)、 Gems (Ruby) をサポートしています。継続的インテグレーション (CI) パイプラインなどの自動化プロセスに簡単に組み込むことができ、Windows、macOS、Linuxに対応しています。
参考資料
What is an SBOM? https://www.linuxfoundation.org/blog/what-is-an-sbom/
Build an SBOM training course https://training.linuxfoundation.org/training/generating-a-software-bill-of-materials-sbom-lfc192/
Free SBOM tool and APIs https://training.linuxfoundation.org/training/generating-a-software-bill-of-materials-sbom-lfc192/
Linux Foundationについて
2000年に設立されたLinux Foundationは、1,500を超えるメンバーによってサポートされており、オープンソース ソフトウェア、オープン スタンダード、オープン データ、およびオープン ハードウェアに関するコラボレーションにおいて世界をリードしています。Linux、Kubernetes、Node.jsをはじめとするLinux Foundationのプロジェクトは、世界のインフラに必要不可欠な存在です。Linux Foundationは、ベスト プラクティスを活用し、貢献者、ユーザー、およびソリューション プロバイダーのニーズに対応することにより、サステナブルなオープン コラボレーション モデルを生み出します。詳細については、www.linuxfoundation.org をご覧ください。
###
The Linux Foundation はさまざまな商標を登録および使用しています。The Linux Foundation の商標一覧はこちらのページ ( https://www.linuxfoundation.jp/trademark-usage/ ) でご確認いただけます。
Linux は Linus Torvalds の登録商標です。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
脆弱性管理クラウド「yamory」、SBOM機能に関する特許を取得
PR TIMES / 2024年5月9日 17時40分
-
xzを悪用したサプライチェーン攻撃の顛末、今後も同様の攻撃継続の恐れ
マイナビニュース / 2024年5月7日 10時47分
-
LFオンラインコース&認定試験が40%割引に ー 2024 State of Tech Talent Report公開キャンペーン
PR TIMES / 2024年4月26日 17時45分
-
LF Resarch 調査レポート「共通の課題に立ち向かう:2023年 Open Source Congress レポート」を公開
PR TIMES / 2024年4月17日 18時15分
-
モンタビスタ、CGX 5.0 を発表 組込み向け、AI対応 セキュア・バイ・デザインのLinux(R)プラットフォーム
@Press / 2024年4月15日 13時0分
ランキング
-
1「肉も野菜も安い!」ドラッグストア絶好調の理由 物価高で高まる存在感、買収で生鮮食品も導入
東洋経済オンライン / 2024年5月9日 7時0分
-
2ブラザー社長「信頼関係を築くことは見込めない」…ローランドDGへのTOBを事実上断念
読売新聞 / 2024年5月9日 18時11分
-
3通販のニッセンを売却=41億円で歯愛メディカルに―セブン&アイ
時事通信 / 2024年5月9日 18時17分
-
4米検察当局がテスラを調査 報道、詐欺行為の疑いで
共同通信 / 2024年5月9日 6時5分
-
5「私の好きだった人はもういない」30代女性が“自己中すぎる夫”と別れを決意した「決定的な瞬間」
Finasee / 2024年5月9日 11時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください