BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ポッドキャスト トレイシー・ミランダ氏、セキュアサプライチェーン、SBOM、SLSAについて語る

トレイシー・ミランダ氏、セキュアサプライチェーン、SBOM、SLSAについて語る

このエピソードでは、セキュアソフトウェアサプライチェーン分野のリーダーであるトレイシー・ミランダ氏が、InfoQポッドキャストの共同ホストであるダニエル・ブライアント氏と対談し、業界の現状について議論した。トピックとしては、SBOM と SLSA の利点、SBOM の作成に取り掛かること、組織のセキュリティ体制を評価する際に開発者がリーダーシップとどのように協力すべきか、などが取り上げられた。

キーポイント

  • 組織のアプリケーションにセキュアなソフトウェアサプライチェーンを導入するための、唯一の方法や特効薬は存在しない。エンドツーエンドのソリューションを実装するには、複数の技術、実務、人材が関与する必要がある。
  • ソフトウェア部品表(SBOM)を作成することは、アプリケーション内にどのような依存関係が含まれているかをカタログ化し、潜在的な脆弱性と関連するアタックサーフェスをを理解するための良い手始めになる。
  • SBOM の主な形式は、現在 SPDX と CycloneDX の 2 つである。どちらにも長所と短所がある。
  • 米国国土安全保障省は、外部パートナーと協力してオープンソースのSBOMツールの作成に取り組んでいる。
  • セキュリティ上の利点に加え、SBOMは、組織のオープンソースプログラムオフィス(OSPO)が、どの依存関係にあるのかを理解し、それらのプロジェクトの健全性チェックを行い、サポートや貢献を提供するために使用できる。

作者について

Previous podcasts

この記事に星をつける

おすすめ度
スタイル

BT