「ソフトウェアの情報共有の方法を標準化する必要がある」 Linux Foundationがツールやオンライン講座を提供:安全なソフトウェア開発に向けてSBOMの使用を促進
The Linux Foundationは、SPDXに準拠した新しい業界調査やオンライントレーニング、ツールを発表した。安全なソフトウェア開発に向けてソフトウェア部品表(SBOM)の使用を促進する。
The Linux Foundation(以下、Linux Foundation)は2021年6月18日、安全なソフトウェア開発に向けてソフトウェア部品表(SBOM)の使用を促進するために、SPDX(Software Package Data Exchange)に準拠した新しい業界調査やトレーニング、ツールを発表した。Linux Foundationプロジェクトの1つであるSPDXは、SBOMの情報を伝えるためのデファクトスタンダードを目指している。
Linux Foundationによると「最近のアプリケーションはおよそ90%がオープンソースを利用している」という。SBOMは、アプリケーションが利用しているオープンソースソフトウェアコンポーネントについて、品質やライセンス、セキュリティ属性を詳細に説明するもの。ソフトウェアのサプライチェーン全体にどのコンポーネントが存在するかを理解し、問題とリスクを事前に特定し、修復の開始点を確立するために使用する。
オンライントレーニングは無料で利用できる
今回発表された新しい業界調査は、Linux Foundation Researchが実施する「SBOM採用準備調査」。ソフトウェアサプライチェーンのセキュリティに関連して、SBOMを採用するに当たっての障壁と、それを克服するために必要な将来のアクションを検証するという。
オンライントレーニングは「Generating a Software Bill of Materials(LFC192):ソフトウェア部品表の生成」。SBOMを生成するのに使用可能なオプションやツール、それらを利用してサイバーセキュリティの対応能力を向上させる方法についての基礎知識を無料で学習できる。
ツールは、CLI(Command Line Interface)でSBOM情報を生成する「SPDX SBOMジェネレーター」。WindowsとmacOS、Linuxに対応する。生成するSBOM情報は、NTIA(National Telecommunications and Information Administration:米国商務省電気通信情報局)の最小要件に準拠しており、SPDX v2.2仕様を使用したアプリケーションのコンポーネントやライセンス、著作権、セキュリティレファレンスを含んでいる。
Linux Foundationのプロジェクト担当シニアバイスプレジデント兼ゼネラルマネジャーを務めるMike Dolan氏は、「オープンソースコミュニティーは公共、民間を問わずSBOMの理解と採用を促進する立場にある。サイバーセキュリティの脅威の高まりによって、ソフトウェア内の情報を共有する方法を標準化する必要が出てきた。SBOMの採用と生成方法についての理解を深め、情報に基づいて行動できるよう、リソースを提供することが急務になっている」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「仮想パッチ」は通常のパッチと何が異なるのか
仮想パッチは脆弱性パッチの一種だが、脆弱性のあるソフトウェアへ直接パッチを当てるのではなく、ネットワークレベルで脆弱性に対応する。Compritech.comによれば、ネットワークやシステムの管理者は業務の一環として仮想パッチに取り組むべきだという。
「仕様通りだけど使いづらい」を解消する、探索的テストの考え方
少人数、短期間の開発を繰り返すアジャイル開発では、どのようにすれば品質を保つことができるのだろうか。本連載では、アジャイル開発における品質管理の手法を解説する。前回から、スプリント内でのテストと品質保証について、2回に分けて解説している。後編となる今回は、探索的テストとアジャイル開発における品質改善事例について。
Google、OSSパッケージの依存関係を可視化した実験的サービスを発表
Googleはオープンソースプロジェクトの依存関係などを可視化した実験的サービス「Open Source Insights」を提供開始した。「変更のペースが速く、ついていくのが難しい場合がある」「大きなプロジェクトが依存するソフトウェアパッケージが頻繁にアップデートされ、明確な現状把握ができない場合がある」といったOSSの課題を解消するのが目的だ。