勉強前イメージ
セキュリティ周りっていうレベル感
調査
SBOM とは
Software Bill Of Materials の略で、エスボムと読みます。
日本語ではソフトウェア部品表と言ってソフトウェアがどのような構成要素でできているのかを一覧で確認できるリストのことを指します。
製造業の部品表(BOM[Bill Of Materials])をソフトウェアに適応したものになります。
開発しているソフトウェアで独自のソースコードだけでなくライブラリやパッケージ等を組み合わせて構成されることがあります。
そのライブラリやパッケージ、また依存関係など一覧で簡単に参照できるようにするのがSBOMです。
これを行うことで使用していたライブラリやパッケージで脆弱性が発見されたりした際に
即座に判断できず調査から進めることをせずとも一覧を見るだけで影響あるのか・ないのかをすぐに確認できます。
また、SBOMにSPDX(Software Package Data Exchange)など様々なフォーマットがあります。
それによって管理することで効率的に管理することができます。
SBOMがあるとき?
SBOMがあるとすると
2021/12に判明したLog4jの脆弱性ではSBOMを見て、Log4jを使用していればその部分の対処。
使用していなければ問題ありません。
しかし、何もなかったとするとapacheを使っているところからしらみつぶしに調査する必要があり
対応までに時間がかかってしまいます。
勉強後イメージ
部品表とかいうからIT関係ないんじゃないかって思ってたけど、
使ってるパッケージとかってことか。
これ管理するのめちゃくちゃ大変じゃない?