Demystifying PBOM and SBOM: Understanding the Key Differences の翻訳版です。
PBOMとSBOMを解き明かす:2つの重要な違いとは
2024年5月17日
著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware
現在、私たちの生活のほぼすべての面にテクノロジーが浸透しています。このような中では、デジタルインフラの複雑さを把握することが不可欠、且つ優先度が高い事項となっています。
テクノロジーと製品開発をめぐる議論でよく出てくる用語が2つあります。パイプライン部品表(PBOM)とソフトウェア部品表(SBOM)です。この2つは似ているように聞こえるかもしれませんが、それぞれ異なる目的を持ち、製品開発と管理の異なる側面に対応しています。
PBOMとSBOMの違いをより明確に理解し、テクノロジーエコシステムにおけるそれぞれの役割を理解するために、PBOMとSBOMの性質について掘り下げてみましょう。
PBOMは、ソフトウェアの最初のコード行からリリースに至るまでの系統を包括的に記したリアルタイムのリストです。PBOMは、ソフトウェア開発ライフサイクル全体において、ソフトウェアが経たすべての過程を追跡します。PBOMは、全ビルドの整合性を保証し、運用中のすべてのアプリケーションが安全であることを確認し、攻撃対象領域を最小限に抑えます。
主な機能は次のとおりです。
パイプラインの完全な可視化: PBOMは、すべてのパイプラインブランチ、ビルド、プルリクエスト、チケット、既知の問題、脆弱性管理を自動的に追跡します。これにより開発チームは、リポジトリ、CI/CD、成果物、クラウドデプロイメントを含むビルドフロー全体をドリルダウンできます。
ソフトウェアの完全性: PBOMは、ソフトウェアが正しいソースと依存関係からビルドされ、ビルドプロセス中に変更されていないことを保証します。コミットの異常、レビューのないコミット、プロジェクトに参加していないコミッターからのコミットをスキャンします。
完全なトレーサビリティ: PBOMは、変更の適切な文書化から各バージョンのリリースのトレースまで、すべてのパイプラインの変更を継続的に監視します。これにより、開発を遅らせることなく、ソフトウェアサプライチェーンの安全性を確保します。
一方、SBOMは、特定の製品やアプリケーションで使用されるソフトウェアコンポーネントの詳細なインベントリです。オープンソースライブラリ、サードパーティの依存関係、およびそれらに関連する脆弱性を特定し、ソフトウェアサプライチェーンに透明性をもたらします。
主な機能は以下のとおりです。
コンポーネントの特定: SBOM は、ライブラリ、フレームワーク、モジュールなど、製品で使用されるすべてのソフトウェアコンポーネントを識別します。この可視性は、ソフトウェアの構成とその潜在的なセキュリティへの影響を理解する上で極めて重要です。
脆弱性管理: SBOM は、使用されている依存関係やバージョンに関するインサイトを提供し、組織がソフトウェアの脆弱性を評価し管理するのを支援します。これにより、パッチ管理や脆弱性修正などの予防的なセキュリティ対策が可能になります。
コンプライアンスの保証: SBOM は、サードパーティコンポーネントの使用状況を文書化することで、ライセンス要件や規制の遵守をサポートします。これにより、組織は知的財産やライセンス違反に関連する法的問題を回避できます。
リスクの軽減: SBOM は、依存関係とそれに関連するリスクを特定することで、セキュリティ脆弱性やソフトウェアの欠陥がもたらす潜在的な影響を評価できるようにします。これにより、十分な情報に基づくリスク軽減戦略とリソースの優先順位付けが可能になります。
PBOM と SBOM はどちらもインベントリの役割を果たしますが、その範囲と焦点は異なっています。
スコープ: PBOM は、あるソフトウェアに対して行われたすべてのことをリアルタイムで文書化することに重点を置いているのに対し、SBOM は、すべてのソフトウェアコンポーネントと依存関係を特定することに重点を置いている
目的: PBOM は効果的なアプリケーションセキュリティのリスクとポスチャ―の管理を実現し、SBOM はソフトウェアの透明性、セキュリティ、コンプライアンスを強化します
対象者: PBOM と SBOM は、主に最高情報セキュリティ責任者(CISO)、セキュリティアナリスト、開発チームマネジャー、ソフトウェア開発者、IT 専門家によって使用されます
影響: PBOMは、ソフトウェアのサプライチェーン全体の完全なセキュリティを向上させ、SBOMは、開発および配備におけるオープンソースコンポーネントの使用に影響を与えます
パイプライン部品表(PBOM)とソフトウェア部品表(SBOM)は共通の用語ではありますが、ソフトウェア開発、管理の異なる側面に対応しています。組織にとって、この違いを理解することは、開発プロセスを最適化し、ソフトウェア製品のセキュリティと完全性を強化しするために極めて重要です。
PBOMとSBOMを効果的に活用すると、企業は生産ワークフローを合理化し、リスクを軽減し、業界標準や規制へのコンプライアンスを確保することができます。例えばHCL AppScan Supply Chain Security などのソリューションは、組織が、ソフトウェア ランドスケープ全体でプロアクティブなセキュリティ ポスチャを維持できるようにする先駆的なアプローチである、アクティブ アプリケーションセキュリティ ポスチャ管理 (Active ASPM) のベネフィットを享受できるようにサポートします。
Active ASPMは、業界トップレベルのアプリケーションセキュリティ・テストを堅牢なポスチャ管理およびソフトウェアサプライチェーンセキュリティと統合します。この完全なパッケージで、すべてのリスク要因を完全に可視化し、記録的な速さで脆弱性をトリアージして修復できる詳細な評価ツールが提供されます。
ソフトウェアサプライチェーンのセキュリティや、安全なソフトウェア開発のためのその他の革新的なソリューションの詳細については、HCL AppScan をご覧ください。