SBOMと脆弱性の連携
syft、sbom tool、コンテナならtrivy
2 sbomファイルは全組織全pjのものをできるだけ集める
機密だから提出しない、ではなくマスク化してでも共有させる
そうすることではじめて組織内の構成情報の統計集計が見えてくるようになる
し、今流行りのAIにも繋げられる
a 脆弱性データベースから名前取ってきて、2の構成情報の各コンポーネント名と照合して、含まれてるものをリストアップ、が必要
b 加えて各脆弱性について対応管理(どう対応したかの情報の管理)も要る
ここは実現方法が色々ある
aもbも自分でやる案。aはCVEやJVNやGitHubなんとかとか色々あるのでそこから取ってくる、bは「aのデータベース側の名前空間」と「1の生成ツール側の名前空間」との比較を確立させる必要がある
aはツール使う案。Trivy。
aもbもツール使う案。オープンソースだとたぶんないけど、有償でBlack Duckとか(画面で脆弱性対応までしてその結果をcsvでエクスポートしたのを管理すればいい)
あとaについては最新の脆弱性をキャッチするという観点も要る
むしろ脆弱性管理の文脈では重要視されるところ
現状はPSIRTでマンパワーで頑張っている現場が多いと思う 4 脆弱性対応管理データも全組織全pjのものをできるだけ集める