SBOM と PBOM によるソフトウェアサプライチェーンの保護

2024/11/18 - 読み終える時間: ~1 分

Protecting Software Supply Chains with SBOM & PBOM の翻訳版です。

SBOM と PBOM によるソフトウェアサプライチェーンの保護

2024年11月8日

著者: Ryley Robinson / Project Marketing Manager

ソフトウェアサプライチェーンには、現代の組織がDigital+ Economyで競争し、勝利するために頼りにしている独自、サードパーティ、オープンソースのソフトウェアコンポーネントのライブラリが組み込まれています。これには、コード開発、依存関係管理、テスト、展開、継続的な更新など、製品ライフサイクルのすべての段階が含まれます。

ソフトウェアサプライチェーンには多数のコンポーネントがあるため、それらすべてを保護するのは大きな課題です。

ハッカーはセキュリティのギャップをますます探すようになり、十分に保護されていない段階を攻撃する可能性がはるかに高くなります。ソフトウェア部品表 (SBOM) やパイプライン部品表 (PBOM) などのセキュリティツールは、これらの増大するリスクをうまく管理しようと決意している組織にとってますます重要になっています。

「供給と需要の混乱への備え (“Disruption Preparedness in Supply and Demand”,)」と題した最近の記事で、HCL AppScan の製品ディレクターである Mike Khusid が、SBOM と PBOM がこれらのツールを使って企業を混乱に備える方法について説明しています。トヨタの主要サプライヤーの 1 社に対する 2022 年のサイバー攻撃や、何千もの Web アプリケーションに影響を与えた polyfill.js ハッキングなどの最近の事件は、侵害が金銭的損失、評判の失墜、データ漏洩、法的訴訟などの深刻な結果につながる可能性があることを示しています。ハッカーは、セキュリティポリシーが不十分なサードパーティベンダーなど、最も弱いリンクを狙うことがよくあります。

SBOM と PBOM の重要性

アプリケーションセキュリティテストで役割を果たすツールは多数ありますが、SBOM と PBOM はソフトウェアサプライチェーンセキュリティに特化しており、エンドツーエンドのセキュリティの面でゲームチェンジャーとなっています。

SBOM は、ソフトウェア内のすべてのコンポーネント、ライブラリ、依存関係の詳細なリストを提供します。これにより、脆弱性を迅速に特定し、コンプライアンスを確保し、問題が発生した場合に迅速に対応できます。PBOM は、コンポーネントだけでなく、開発から本番までのソフトウェアパイプライン全体のプロセスもカタログ化します。すべての変更を追跡し、リスクを監視し、プロセス全体を通じてコードが安全であることを保証します。

これらのツールを持つことは単なるボーナスではなく、混乱に先手を打つために不可欠です。組織は、SBOM と PBOM のベストプラクティスを採用し、強力なサイバーセキュリティに投資し、攻撃者が迫ってきたときにソフトウェアを保護して安全を確保できる柔軟なポリシーを構築するための措置を講じる必要があります。

記事の全文は、こちらでご覧いただけます。

サプライチェーンセキュリティの詳細と、HCLSoftwareがお客様のデータ保護の第一歩となる方法については、HCL AppScan をご覧ください。

Search

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Follow @HclJapan Tweets by HclJapan

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベントガイドクラウドサポートサポート技術情報サポート終了セキュリティセキュリティーセキュリティー脆弱性テクてく Lotus 技術者夜会ニュースノーツコンソーシアムパートナーライセンス九州地区 Notes パートナー会出荷日研修