ソフトウェア部品表（SBOM）：開発者が知っておくべきこと

ソフトウェア部品表 (SBoM)

お気に入りのIDEを開き、最新のプロジェクトに移動して、それぞれのロックファイル（package-lock.json, go.mod, Pipfile.lockなど）を開いてみてください。おそらく何百、何千ものオープンソースパッケージやライブラリが見つかるでしょう。これは、アプリケーションの目に見えない未知の部分がいかに広範囲に及んでいるかを正確に示しています。

ソフトウェア部品表（SBOM）は、アプリケーションが依存するすべてのソフトウェアコンポーネント、ライブラリ、および依存関係の同様のインベントリですが、パッケージ名や固定バージョンよりも深く掘り下げます。オープンソースライセンスなどに関するデータを集約することで、SBOMは完全な可視性を提供し、サプライチェーン攻撃を防いだり、2層、3層、あるいはそれ以上深い依存関係における新しい脆弱性を特定したりするために活用できます。

別名

ソフトウェアインベントリ

ソフトウェアコンポーネントリスト

433万ドル

サードパーティの依存関係を主要な攻撃ベクトルとするデータ侵害の平均コストです。

出典

IBM

すべてのコードベースの84%

少なくとも1つのアクティブな脆弱性を持つオープンソースツールやライブラリが含まれています。

出典

Synopsys

245,000以上の悪意のあるパッケージ

人気のあるオープンソースライブラリの中から発見され、ダウンロードの8回に1回は既知の回避可能なリスクを含んでいます。

出典

Sonatype

SBOMの例とその仕組み

SBOMはさまざまな出力形式とデータ構造で提供されますが、最終的にはパッケージ名、バージョン、ソース、ライセンス、URLなどを含むアーティファクトのデータベースです。SBOMはまた、アプリケーションが依存する依存関係の網の透明性を高めるために、2つのアーティファクト間の関係を特定します。

SBOMはスクロールして確認するのに特に便利ではありませんが、アプリケーションのより広範な脆弱性管理において非常に役立ちます。アプリケーションのSBOMを、依存関係スキャン、マルウェア検出、またはライフサイクル終了 (EOL) データを提供する他のツールに投入することで、表面レベルの脆弱性だけでなく、アプリケーション内のあらゆる潜在的な脆弱性を確実に表面化させることができます。

SBOMを持つことは、開発者にとってどのように役立つのでしょうか？

利点

リアルタイムで障害をトラブルシューティングする際、最新のSBOMは、たとえ2層または3層の深さであっても、どのパッケージが原因であるかを正確に特定するのに役立ちます。

アプリケーションが効果的に動作するために必要なコンポーネントを完全に理解することで、潜在的な弱点を特定し、より安全な依存関係への修正や移行を優先することにより、より積極的なリスク軽減を実行できます。

SBOMを活用することで、開発チームと運用チームは、問題に関する連携や現在の問題に対するプロアクティブな解決策の優先順位付けにおいて、単一の信頼できる情報源を持つことができます。

SBOMは、オープンソースの依存関係のメタデータへの変更を特定するのに役立ち、新しいパッケージにマルウェアが注入されるサプライチェーン攻撃（XZ Utils backdoorを覚えていますか？）の手がかりとなる可能性があります。

特定の業界や規制環境では、ライセンス条項と調達インベントリの完全な目録が求められます。適切に維持された完全なSBOMがあれば、コンプライアンスを確保し、法的問題を回避できます。

迅速にアプリをセキュアに

Aikidoは、コードとクラウドのすべてのセキュリティ問題の概要を即座に提供し、高リスクの脆弱性を迅速にトリアージして修正できるようにします。

無料スタート

SBOMの実装：概要

SBOMの生成は、ほとんどの開発者がローカルの作業環境で実行できます。一つの選択肢として、Syftのようなオープンソースツールを使用して、コンテナイメージやローカルファイルシステムを調査する方法があります。

SBOM実装

インストール Syft ワンライナー、Homebrew、またはバイナリリリースを使用してローカルにインストールします。

syft CLIコマンドを実行し、必要に応じてJSONまたはCycloneDXレポートを生成します。

SyftをCI/CDパイプラインに接続し、GitHub Actionsなどを使用して、コミットごとに新しいSBOMが生成されるようにします。

SBOMを一元的に集約する方法を見つけます。理想的には、可視化機能や変更管理機能を備えていると良いでしょう。これにより、さらなる調査が必要なオープンソースサプライチェーンの変化を特定できます。

脆弱性を調査してその優先順位を特定し、修正に関するアドバイスを得るためにドキュメントを読みます。

あるいはAikidoを使用しても

Aikido

接続します：GitHub、GitLab、Bitbucket、またはAzure DevOpsアカウント。

スキャンするリポジトリ/クラウド/コンテナを選択します。

数分で優先順位付けされた結果と修正アドバイスを取得します。

SBOMを効果的に管理するためのベストプラクティス

早期に開始する

プロジェクトのできるだけ早い段階で最初のSBOMを作成します。アプリケーションセキュリティプラットフォームを完全に選択していなくても構いません。履歴が多ければ多いほど、アプリケーションに悪影響を与える変更を追跡しやすくなります。

自動化、自動化、自動化

CLIツールはローカルワークステーションに簡単にインストールできますが、最終的には、真のインサイトを生成するために、他の場所に保存および集約する必要があるアーティファクトが残ります。少なくとも、手動実行を忘れないように、SBOM生成をCI/CDパイプラインに組み込んでください。

SBOM形式を標準化する

CycloneDXやSPDXのような業界標準フォーマットを使用することで、より多くのセキュリティソフトウェアと統合し、パートナーや規制当局とSBOMを共有できるようになります。

無料でSBOMの作成を開始しましょう

GitプラットフォームをAikidoに接続することで、即座のトリアージ、スマートな優先順位付け、迅速な修正のための的確なコンテキストを備えたSBOM（ソフトウェア部品表）の作成を開始できます。

リポジトリとコンテナを無料でスキャンします。

読み取り専用アクセスで60秒以内に初回結果。

SOC2 Type 2 および

ISO27001:2022 認証済み