OSSレゴのサプライヤー表示
public.icon
@__kokumoto
: Log4jの脆弱性Log4Shellが開示されてから1年が経ったが、まだ脆弱なシステムも悪用も残存している。ソフトウェアサプライチェーンの問題として、利用しているソフトウェアを妥当に管理できている組織は少なく、部品として使用されているOSSはエンドユーザに認知されていない。
Log4j’s Log4Shell Vulnerability: One Year Later, It’s Still Lurking | WIRED
Money lego
,
Anti-Sybil Legos
にインスパイアされて、
OSS Legos
と呼ぶことにする
@0xtkgshn
: 確かに、マネーレゴ、〇〇レゴのサプライヤー表示みたいなのは需要あるかも?
ubic_fairy
が
SBOM
というのを教えてくれた
ここら辺は
audit
とかの概念と一緒に、
スマコン
に対して
SBT
的な感じで
cerficated
みたいなのを送ることで
Software supply chain
の保証とかできないのかな?
ここら辺は、ちゃんと地に足のついたクリプトの使い方という感じで
Tea
とかと相性良さそう?