Software Bill of Materials | CISA
public.icon
Software Bill of Materials | CISA
ソフトウェア部品表
ソフトウェアセキュリティとソフトウェアサプライチェーンリスク管理における重要な構成要素として、「ソフトウェア部品表」(SBOM)が登場しました。SBOMは入れ子式のインベントリで、ソフトウェアコンポーネントを構成する成分のリストです。 SBOMの作業は2018年以降、米国電気通信情報局(NTIA)のマルチステークホルダープロセスによって、コミュニティの共同作業として進められてきました。
CISAは、コミュニティの参加、開発、進展を促進することにより、SBOMの活動を推進し、スケーリングと運用化、ツール、新技術、新しい使用例に焦点を当てます。また、このウェブサイトは、デジタルエコシステムと世界中のSBOMリソースのより広範な集合のためのネクサスとなる予定です。
SBOMに関連する概念として、VEX(Vulnerability Exploitability eXchange)がある。 VEX文書は、製品または製品が既知の脆弱性の影響を受けるかどうかを示すセキュリティ勧告の一種である証明書である。VEXの更新を受ける方法、またはVEXに関する取り組みに参加する方法の詳細については、SBOM@cisa.dhs.gov
既存のソフトウェアのOSS Legosのセキュリティーテスト的な?
notion of Software supply chain