このエピソードでは、セキュアソフトウェアサプライチェーン分野のリーダーであるトレイシー・ミランダ氏が、InfoQポッドキャストの共同ホストであるダニエル・ブライアント氏と対談し、業界の現状について議論した。トピックとしては、SBOM と SLSA の利点、SBOM の作成に取り掛かること、組織のセキュリティ体制を評価する際に開発者がリーダーシップとどのように協力すべきか、などが取り上げられた。
キーポイント
- 組織のアプリケーションにセキュアなソフトウェアサプライチェーンを導入するための、唯一の方法や特効薬は存在しない。エンドツーエンドのソリューションを実装するには、複数の技術、実務、人材が関与する必要がある。
- ソフトウェア部品表(SBOM)を作成することは、アプリケーション内にどのような依存関係が含まれているかをカタログ化し、潜在的な脆弱性と関連するアタックサーフェスをを理解するための良い手始めになる。
- SBOM の主な形式は、現在 SPDX と CycloneDX の 2 つである。どちらにも長所と短所がある。
- 米国国土安全保障省は、外部パートナーと協力してオープンソースのSBOMツールの作成に取り組んでいる。
- セキュリティ上の利点に加え、SBOMは、組織のオープンソースプログラムオフィス(OSPO)が、どの依存関係にあるのかを理解し、それらのプロジェクトの健全性チェックを行い、サポートや貢献を提供するために使用できる。
