SBOM の履歴(No.26)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• SBOM へ行く。
  • 1 (2021-07-20 (火) 06:19:56)
  • 2 (2021-08-04 (水) 17:04:48)
  • 3 (2021-08-11 (水) 08:53:25)
  • 4 (2021-09-10 (金) 06:16:12)
  • 5 (2022-02-05 (土) 14:58:16)
  • 6 (2022-04-16 (土) 17:34:12)
  • 7 (2022-04-28 (木) 07:17:46)
  • 8 (2022-05-17 (火) 06:58:16)
  • 9 (2022-07-27 (水) 14:57:43)
  • 10 (2022-07-30 (土) 16:19:29)
  • 11 (2022-08-12 (金) 10:49:06)
  • 12 (2022-09-10 (土) 15:52:00)
  • 13 (2022-09-15 (木) 12:03:12)
  • 14 (2022-09-18 (日) 11:27:57)
  • 15 (2022-09-24 (土) 20:32:34)
  • 16 (2022-09-25 (日) 17:08:14)
  • 17 (2022-09-27 (火) 18:28:57)
  • 18 (2022-12-15 (木) 11:22:24)
  • 19 (2023-01-08 (日) 11:10:36)
  • 20 (2023-02-19 (日) 10:54:30)
  • 21 (2023-03-26 (日) 17:12:21)
  • 22 (2023-07-29 (土) 17:54:56)
  • 23 (2023-08-03 (木) 18:25:23)
  • 24 (2023-08-06 (日) 21:07:51)
  • 25 (2024-01-08 (月) 11:03:34)
  • 26 (2024-02-29 (木) 21:47:17)
  • 27 (2024-03-03 (日) 11:57:00)
  • 28 (2024-06-23 (日) 16:27:09)
  • 29 (2024-08-27 (火) 19:28:27)
  • 30 (2024-09-07 (土) 17:56:49)
  • 31 (2024-09-15 (日) 20:39:13)
  • 32 (2024-09-21 (土) 13:31:10)
  • 33 (2024-09-24 (火) 18:59:39)
  • 34 (2024-11-09 (土) 10:28:14)
  • 35 (2024-11-17 (日) 08:41:46)
  • 36 (2024-11-26 (火) 20:46:56)
  • 37 (2024-11-27 (水) 06:09:48)

Tag: ソフトウェア 品質 OSS SBOM

情報†

2024年†

• 米国 NSA SBOM管理のための推奨事項 (Ver. 1.1): まるちゃんの情報セキュリティ気まぐれ日記 (2024/01/08)

  米国の国家安全保障局 (NSA) がSBOM管理のための推奨事項を更新していますね。。。 

• トヨタ・ルネサス・キヤノンが力注ぐSBOM、欧米主導で企業間取引の条件に | 日経クロステック（xTECH） (2024/02/29)

  国内市場でもSBOMの機運は高まっている。医療機器業界では、2024年4月からプログラムを用いた医療機器のSBOM対応が必須になる。

2023年†

• 日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的：ソフトウェアサプライチェーンの守り方（2） - MONOist (2023/01/05)

  しかし、SBOMを利用することで全体像を把握できるようになる。これは、米国商務省電気通信情報局（NTIA）のSBOMによるソフトウェアエコシステムを示したチャートをご覧いただくのがよいと思う。

• ソフトウェアサプライチェーンセキュリティを「品質」で読み解く：ソフトウェアサプライチェーンの守り方（3） - MONOist (2023/2/9)

  最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。

• 米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない：IoTセキュリティ（1/2 ページ） - MONOist (2023/03/15)

  今回のOSSRAレポートでは、オープンソースを含むコードベースの割合が96％、全コードベースに占めるオープンソースの割合が76％となった

• ソフトの脆弱性に即応「SBOM」とは？　経産省導入促す - 日本経済新聞 (2023/07/28)

  経済産業省はサイバー攻撃対策で企業向けに新しい指針をまとめる。ソフトウエアを構成するプログラムを一覧化した「SBOM（エスボム、ソフトウエア部品表）」の作成を促し、脆弱性が見つかっても早期対応できるようにする。

• 経済産業省 ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引: まるちゃんの情報セキュリティ気まぐれ日記 (2023/08/01)

  日本では、経済産業省が、このたび、SBOMの導入手引きを公開していますね。。。具体的につくられていて、かなり分かりやすくなっていると思います。参考文献のリストもちゃんとあって、分かりやすいです。。。

• 経済産業省、「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」公開。環境構築、SBOM作成、運用管理など解説 － Publickey (2023/08/02)

  経済産業省は「ソフトウェア管理に向けたSBOM（Software Bill of Materials）の導入に関する手引」を策定し公開したことを明らかにしました。

• 日立ソリューションズ、「SBOM管理サービス」提供 - 脆弱性管理の自動化実現 | TECH+（テックプラス） (2023/12/12)

  日立ソリューションズは12月12日、SBOM（Software Bill of Materials：ソフトウェア部品表）を一元管理し、各種リスクの検知と対応、ベストプラクティスの適用や情報分析・活用を行うプラットフォーム「SBOM管理サービス」を販売開始すると発表した。

2022年†

• セキュリティを高める「SBOM」、なぜ利用が進んでいるのか：約8割の組織が2022年に利用を予定 - ＠IT (2022/02/03)

  「SBOMはもはや選択肢ではない。今回の調査によると、2022年には78％の組織がSBOMを作成または利用する予定だ」

• ソフトウェア部品表「SBOM」に着目、米国FDAの医療機器市販前セキュリティ対策：海外医療技術トレンド（82） - MONOist (2022/04/15)

  FDAは、同草案の「V．サイバーセキュリティリスクを管理するための SPDF（セキュア製品開発フレームワーク）利用」の「A．セキュリティリスクマネジメント」において、「2．サードパーティー製ソフトウェアコンポーネント」のサプライチェーンリスクマネジメント支援ツールとして、SBOMを取り上げている。

• 組み込みソフト開発で重視されるSBOM、BlackBerryが国内パートナーと連携強化：組み込み開発ニュース - MONOist (2022/04/26)

  Jarvis 2.0は、ソースコードではなく、バイナリコードを用いてソフトウェア構成解析とセキュリティテストを行えるツールである。ブラックベリー社内での開発に用いられていたツールを外販したもので、組み込みシステム向けに特化していることが特徴となっている。

• Linux Foundationが調査レポート「SBOMとサイバーセキュリティへの対応状況」を公開：サイバーセキュリティ戦略の要となるか - ＠IT (2022/05/16)

  企業におけるSBOMの準備・採用の度合いと、オープンソースエコシステム全体のサイバーセキュリティの改善に向けたSBOMの重要性について述べているという。

• マイクロソフト、ビルド時にソフトウェアの部品表（SBOM）を自動生成する「SBOM Tool」、オープンソースで公開 － Publickey (2022/07/22)

  マイクロソフトは、ビルド時にそのソフトウェアがどのようなソフトウェア部品から構成されているかを示すデータ「SBOM」を生成してくれるツール「SBOM Tool」を、オープンソースで公開しました。

  • https://github.com/microsoft/sbom-tool
  • コメント：下記のJava（macOS）にて正常に出力されることを確認した。(2022/09/10)
    • https://github.com/jabedhasan21/java-hello-world-with-maven
• Githubのサプライチェーン攻撃に対する取り組み｜unknown protocol｜note (2022/07/23)

  サプライチェーン攻撃に関してはMicrosoft以外も取り組んでいて、そのうちのひとつであるGithubのブログを読んでみる。

  • 関連：サプライチェーン攻撃
• 米国では既に標準化の流れ、日本企業も対応を迫られる「SBOM」とは：OSSのサプライチェーン管理、取るべきアクションとは（3） - ＠IT (2022/07/26)

  ここでは、OSSのサプライチェーン管理に関する連載の3回目として、SBOMを解説する。

• 「単なる文書」で終わらせない SBOM 作成のための処方箋 - 日本シノプシス合同会社 (2022/7)

  SBOM を正しく理解していただけるよう、本書ではシノプシスの顧客の間に見られる懸念や混乱についての情報を整理し、その内容をふまえて いくつかの重要な提言をまとめました。SBOM に対する今後の取り組みの軌道修正にご活用ください。

• Google Developers Japan: SBOM in Action: 「ソフトウェア部品表」で脆弱性を見つける (2022/08/09)

  この記事は Google オープンソース セキュリティ チーム、Brandon Lum、Oliver Chang による Google Security Blog の記事 "SBOM in Action: finding vulnerabilities with a Software Bill of Materials" を元に翻訳・加筆したものです。

• SBOMの脆弱性管理がもたらす品質とスピード向上でDevSecOpsを進めよう【デブサミ2022夏】 (1/2)：CodeZine（コードジン） (2022/09/16)

  テーマはSBOM。最近ではカンファレンスのキーワードで扱われる機会が増えてきている。

• オープンソース管理のトレンド、ソフトウェア部品表（SBOM）の国際標準化動向 (2022/09/21)

  本セミナーは、2021年5月に開催された回の再放送となります。

  • 関連：CISQ, SPDX, CPE, NTIA, C-SCRM, SP800-161, ISO27001, MITRE
• Javaで書いた4行のコード、依存関係をたどると51万行に――超複雑化するソフトウェア構成、SBOMで探るには：特集：1P情シスのための脆弱性管理／対策の現実解（3） - ＠IT (2022/09/22)

  本稿では、＠ITが開催した「＠IT ソフトウェア品質向上セミナー」の基調講演「SBOMによるサプライチェーン攻撃対策 ～自社ソフトウェアのリスク、把握していますか？～」で語られた、OSSの使用に潜むリスクへの対処法について、要約してお届けする。

  • ＠IT ソフトウェア品質向上セミナー 貴社はソフトウェアの全容を把握していますか？ 知らなかったでは済まされない、ソフトウェア品質に内在する本当のリスク
• SBOMで始める脆弱性管理の実際 - NTT Communications Engineers' Blog (2022/12/1)

  今回の記事では、SBOMを利用した脆弱性管理の取り組みについてご紹介します。

2021年†

• トヨタが推すサイバー対策の新常識「SBOM」、流出するリスクは？ | 日経クロステック（xTECH） (2021/09/10)

  ここへ来て、2020年12月にSBOMの仕様が国際標準「ISO／IEC 5230」として固まり、普及への期待が高まっている。

  • OpenChain
• 自動車サイバー対策、“SBOM”が標準慣行に　ブラックベリー | 日経クロステック（xTECH） (2021/08/11)

  Black Duckとの違いについて、「組み込みシステムに最適化している点がJarvis 2.0の大きな特徴だ」（同氏）と説明した

• ソフトウェア品質とセキュリティ品質の温故知新――先人たちの築いた指標に学ぶ脆弱性対策【デブサミ2021】 (1/2)：CodeZine（コードジン） (2021/03/15)

  Build Security In
  BSIはセキュリティに関する知識を形式知化することを目的としている。
  SBOM （Software bill of materials：ソフトウェア部品表）
  SBOMはコードベースに存在するすべてのオープンソースおよびサードパーティ・コンポーネントの一覧のことだ。

• 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。: まるちゃんの情報セキュリティ気まぐれ日記 (2021/06/02)

  興味深い内容です。。。政府は重要なソフトウェアを取得する場合は、サプライヤから SBOM を要求すべきという方向に行きますかね。。。

2020年†

• ソフトウェアBOM（ソフトウェア部品表）とは何か？ - ソフトウェア・インテグリティ (2020/08/20)

  ソフトウェア部品表（ソフトウェアBOM）を使用すると、オープンソースの使用に伴うセキュリティ、ライセンス、および運用上のリスクにすばやく対応できます。

関連†

• 2020
• 2021
• 2021/スケジュール
• 2022
• 2022/スケジュール
• 2023
• 2024
• 2024/スケジュール
• Bomber
• C-SCRM
• CISQ
• CPE
• EUサイバーレジリエンス法
• ISO27001
• JVN
• Java
• MITRE
• NTIA
• OpenChain
• PSIRT
• SP800-161
• SP800-218
• SPDX
• Snyk
• UN-R155
• macOS
• サプライチェーン攻撃

• ソフトウェア品質
• ISO/IEC 29119
• DSIRT
• PSIRT
• STEP
• TMMi
• 開発ルール
• JSTQB
• SQuBOK
• SOUP
• CISQ
• ODC分析
• ASDoQ
• SP800-161
• SBOM
• リファクタリング
• コードカバレッジ
• COTS

• PSIRT
• SPDX
• OpenChain
• UN-R155