SBOMツールの選定から実際の使用まで 「SBOMの導入に関する手引き」4章~6章を読み解く
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 3日目は、2日目に続き『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、4章~6章を中心に解説します。前半は4章のSBOMツールの選定から。 「識別子」の補足 渡邊歩氏(以下、渡邊):昨日ご参加いただいた方はだいたい資料のイメージなんかもわかっているかもしれませんが、こちらの資料は、経産省の「ソフトウェア管理に向けたSBOMの導入に関する手引」の概要ということで、内容をサマライズして、さらにそこに少しだけ補足を加えたものです。それを見ながらお話をしていきます。今映しているのが、この手引書の目次です。 1章から7章までの構成にな
セキュリティツールの評価は難しい - knqyf263's blog
前から思ってたことをちょっと書かずにいられなくなったのでポエムを書きました。 背景 問題 検知している方が正しいように見えがち 条件を揃えるのが難しい 環境の再現が難しい 検知数が多い方が良さそうに見える 正解かどうかの判断が難しい カバー範囲の正確な見極めが難しい 検知されないほうが嬉しい まとめ 背景 お前誰だよってなるかもしれないので書いておくと、Trivyという脆弱性スキャナーのメンテナをやっています。 github.com とある有名な方による以下のツイートがありました。 I just discovered, during @cloudflare #SecurityWeek no less, that Trivy (the vuln scanner) doesn't detect known issues in Alpine images. Including a critica
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
