エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント17件
- 注目コメント
- 新着コメント
tetsutalow
ソフトウェアサプライチェーンの問題、面倒でもSBOM作るくらいしか解がなさそうなのでこういうツールは本当ありがたい。米国政府がSBOM推進を打ち出したので日本も経産省産業サイバーセキュリティ研究会で議論中。
BlueSkyDetector
spdxの普及はOSSの脆弱性対応の重要なポイント。米国では政府系へのソフトウェア納品ではSBOMが必須になると言われている。日本でも組み込み系でOSSを使う大手の会社がSBOMを要求するようになってきてる。
reboot_in
“ソフトウェアの開発工程において発生するリスクのことを「サプライチェーンリスク」と呼ぶことがあります。 そして、このサプライチェーンリスクを低減するための方法の1つとして期待されているのが「SBOM」です。”
yarumato
“SBOM(Software Bill Of Materials、ソフトウェア部品表)によって、アプリが、どのソフトウェア部品を使い、いつ構築されたのかが判別できれば、脆弱性(サプライチェーンリスク)の判断と対応も迅速に行えます。”
kaakaa_hoe
大量に検出される中の誤検知をどう扱うかなんだよな。log4shell当時、JNDI関連のクラス除去して暫定対処としたOSSもあったけど、それだけだと該当verのlog4jが含まれると判定されるし。そういうのを含めてどう運用するか。
tetsutalow
ソフトウェアサプライチェーンの問題、面倒でもSBOM作るくらいしか解がなさそうなのでこういうツールは本当ありがたい。米国政府がSBOM推進を打ち出したので日本も経産省産業サイバーセキュリティ研究会で議論中。
BlueSkyDetector
spdxの普及はOSSの脆弱性対応の重要なポイント。米国では政府系へのソフトウェア納品ではSBOMが必須になると言われている。日本でも組み込み系でOSSを使う大手の会社がSBOMを要求するようになってきてる。
tsz
設定ファイル経由で起動時に動的に読み込むライブラリは漏れそう。昔、脆弱性の影響調査したときは、動いてるプロセスのprocfsのメモリマップみてロードされてるライブラリを確認してた。これも漏れるときは漏れるが。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
マイクロソフト、ビルド時にソフトウェアの部品表(SBOM)を自動生成する「SBOM Tool」、オープンソースで公開
マイクロソフト、ビルド時にソフトウェアの部品表︵SBOM︶を自動生成する﹁SBOM Tool﹂、オープンソース...
マイクロソフト、ビルド時にソフトウェアの部品表︵SBOM︶を自動生成する﹁SBOM Tool﹂、オープンソースで公開 マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ﹁SBOM﹂を生成してくれるツール﹁SBOM Tool﹂を、オープンソースで公開しました。 SBOMによるサプライチェーンリスクの解決 SBOMとはSoftware Bill Of Materialsの頭文字をとったもので、日本語では﹁ソフトウェア部品表﹂とされます。あるソフトウェアがどのようなソフトウェア部品によって構成されているのかを示す情報がまとまったデータのことです。 ほとんどのソフトウェアは単独で成立しているわけではなく、多数のライブラリやコンポーネントなどのソフトウェア部品に依存しています。そのなかのいずれかに脆弱性が発見されればドミノ倒しのように他のさまざま
2022/07/22 リンク