SBOMを噛み砕く
https://gyazo.com/1bd833c3f871f08d0da2eba30c0078a5 https://zenn.dev/sta/books/sbom-kamikudaku
SBOMを噛み砕く
-.icon
以下作業領域
作業ログ
ググラビリティがカスなので宣伝記事書いた
SBOMの本を書きました
これでsbom 本とかでヒットしやすくなるはず……sta.icon
SBOMを噛み砕く2
SBOMを噛み砕く1
モニタリング
Twitter: sbomを噛み砕く - 検索 / X
https://x.com/matumo0724/status/1796552252381172173
システム開発でSBOMを作る風潮を感じてる 脆弱性がどうだこうだって必要性はわかる 使い方は全然わかんない 使われてるところも見たことない 能力を発揮するのは運用保守になってからかな
検索して?たどり着いてもらえたのかしらsta.icon
だとしたらSEOは機能してそう
Zennのおかげか。あとSBOMの本がそもそもほぼない(海外に一冊と、国内は会員登録必要なのが一つあったかしらって程度)ので先行者利益感
ポストに応えると、
まだ使われてるところはないですね。これから法やガイドラインがつくられて周知されるって段階。そのために主に大手がこねこねこねしてる
一方で一部ベンチャーは「脆弱性わかりゃええやろ?」で製品進めてる + 一応SBOMも出せるようにしてまーすとか → SBOM セキュリティチェッカー(snyk)とか
使い方はまだ模索されてない、今のところソフトウェアの「構成成分」を洗い出しておけ、必要に応じて提供しろ今後要件にするかもしれんぞってくらいなので「つくっておけ」「必要に応じて見せろ」くらい
だけどポテンシャルとしてはどんなときにどんなライブラリ使うのが良いかなどのナレッジも導出できると思ってる
本でも書いた: 統合管理|SBOMを噛み砕く
いや運用保守に限らず開発時にも発揮する
要は「これこれのライブラリ使ってます」の一覧なので、これを解析することで色々情報がわかる
シフトレフトともいうが早期に脆弱性を知れたりとか
もちろん運用保守時にも発揮する、特にサポート対象のソフトウェアに関する主要な情報源になる