サードパーティ製ソフトウェアコンポーネントに関連するリスク管理は、現代のソフトウェアチームにとって重要な課題です。オープンソースか商用か、部分的か完全かを問わず、あらゆるサードパーティ依存関係は、潜在的なセキュリティ上の脆弱性や法的リスクを伴います。これらのリスクを軽視できない企業にとって、ソフトウェア部品表 (SBOM) は不可欠です。ただし、すべての SBOM が同じように作成されるわけではありません。もちろん、検討すべき技術要件は多数ありますが、ソフトウェアリスクを効果的に管理するには、まずコンポーネントインベントリの完全性、Vulnerability Exploitability eXchange (VEX) との統合、そして標準形式でのレポート共有という 3 つの基本事項に着目する必要があります。
SBOMは完全でなければならない
部分的な SBOM は、道路の半分が欠けている地図のようなものです。一見便利そうに見えますが、実際に使用すると、盲点だらけであることがわかります。完全な SBOM には、次のすべてが含まれます。
- オープンソースまたは商用コンポーネント。
- 完全に使用されるライブラリ、およびサードパーティのコードの一部または変更されたコード。
- 推移的な依存関係を通じて直接的または間接的に導入されるコンポーネント。
多くの組織は、SBOM を実行時に生成したり、管理対象の依存関係のみ生成したりするという間違いを犯しています。このアプローチでは、完全な可視性が確保されません。ソフトウェアに何が含まれているかを正確に把握しなければ、セキュリティ脆弱性、ライセンスコンプライアンス、古いコンポーネントなどのリスクを効果的に管理することはできません。真のリスク管理を実現するには、SBOM で完全なインベントリを提供し、リスク認識と制御に自信を持てるようにする必要があります。
コンテキストに応じた脆弱性管理のためにVEXを統合する
優れた SBOM はすべてのコンポーネントを識別します。次に、どのコンポーネントに脆弱性があるのかを把握し、さらに、どの脆弱性が悪用される可能性があるかを把握します。ここで、Vulnerability Exploitability eXchange (VEX) が役立ちます。
SBOM だけでも何があるのかわかりますが、VEX を含めるとリスクに関する重要なコンテキストが得られます。すべての脆弱性が特定のアプリケーション環境で悪用されるわけではありません。VEX を SBOM に統合することで、次のことが可能になります。
- 誤検知の追跡に時間を消費するのではなく、悪用可能な脆弱性に注力できます。
- 実際のリスクに基づいて修復の優先順位を決定します。
- 開発チームとセキュリティチームの作業効率を高めます。
VEX を導入することで、SBOM は静的なインベントリから実用的な洞察を提供する動的なツールへと進化します。規制のチェックボックスをチェックするだけではなく、リスクを効果的に管理することが重要です。
標準形式でエクスポートして共有する
SBOM の有用性は、適切な関係者と共有し、それに基づいて行動できるかどうかにかかっています。規制要件、顧客の要求、ソフトウェアサプライチェーン内のコラボレーションには、標準化されたフォーマットが不可欠です。SBOM では、次のことがサポートされる必要があります。
- 最も広く認知されている形式は、SPDXとCycloneDX です。
- VEX 統合(直接埋め込まれているか、SBOM にリンクされているかに関係なく)。
- 簡単にエクスポートできるため、パートナー、規制当局、社内チームとシームレスに共有できます。
標準フォーマットにより相互運用性が確保され、セキュリティインシデントへの対応がより迅速かつ効果的になります。また、業界標準や変化する政府規制など、コンプライアンス義務を、自信を持って遵守できるようになります。
大きな課題:これをどのように実用化するか
これらはすべて素晴らしいように聞こえますが、実際にどのように実現するのでしょうか。その答えは、効果的なソフトウェア構成分析 (SCA) ツールにあります。SCA ツールは、SBOM の構築と保守における現実世界の複雑さに対処できるものでなければなりません。
SCA ツールに求められるもの
包括的なスキャン機能
SCA ツールは、使用されるプログラミング言語に関係なく、コードベース全体をスキャンできる必要があります。これには次のものが含まれます。
- フォルダーレベル、ファイルレベル、スニペットレベルのスキャン。
- 管理されていない依存関係と推移的なコンポーネント。
- 何も見逃さないためのクロスプラットフォーム互換性。
広範かつ最新のナレッジベース
SCA ツールのナレッジベースは、次の情報に基づいて膨大かつ継続的に更新される必要があります。
- オープンソースプロジェクトとライブラリ。
- ライセンスと著作権の詳細。
- 既知の脆弱性と関連するパッチ。
インテリジェントなフィルタリングと正確な在庫管理
SCA における最大の課題の 1 つは、大量の生のスキャン結果を管理することです。適切なツールとは、次の要件を満たすものです。
- 結果をインテリジェントにフィルタリングして誤検出を減らします。
- ファイルを一致させてグループ化し、コンポーネントを識別して重複エントリを回避します。
- 手動検証を最小限に抑えることで、時間を節約し、専門のソフトウェア監査人への依存を減らします。
専門的なソフトウェア監査サービス
自動化によって作業負荷の大半を処理できますが、専門家のサービスによって立ち上げを加速できます。次の監査サポートを提供する SCA プロバイダーを探してください。
- コードベースでベースラインスキャンと識別マッチングを実行します。
- 初期 SBOM を検証します。
- 継続的な監査のベストプラクティスについてチームを指導します。
優先すべき主な機能
前述の SBOM の基礎を実現するには、SCA ソリューションの次の重要な機能に重点を置きます。
- ナレッジ ベースの範囲と正確性:ナレッジベースが広く深くなるほど、SBOM の正確性と有用性が高まります。
- スニペット検出の粒度:オープンソースコードのスニペットを検出する機能により、サードパーティコンポーネントが気付かれずに紛れ込むことがなくなります。
- スマートな結果フィルタリング:関連性の高い結果を優先するツールにより、手作業の労力が最小限に抑えられ、使いやすさが向上します。
- 専門サービス:外部監査の専門知識によって、機能する SBOM と単なるコンポーネントのリストに過ぎない SBOM との違いが生まれます。
結論
SBOM はソフトウェアサプライチェーンのリスク管理に不可欠ですが、その価値は、それを支えるツールとプロセスによって決まります。適切な SCA ツールを選択し、ここで概説した機能を優先することで、チームは包括的で実用的かつ共有可能な SBOM を作成するという課題を克服できます。
ツールが重労働を担えば、組織は、安全でコンプライアンスに準拠した回復力のあるソフトウェアの構築という本当に重要なことに集中できます。SBOM の課題に正面から取り組む準備はできていますか? FossID ソリューションアドバイザーにご相談ください。