ダイブ・ブリーフ
この文書は主に連邦政府機関向けですが、CISAは企業もこれを利用してベンダーにソフトウェア部品表(SBOM)の提供を求めることを期待しています。
写真イラスト:Danielle Ternes/Cybersecurity Dive;写真:yucelyilmaz via Getty Images
この音声は自動生成されています。ご意見があればお知らせください。
サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、ソフトウェア部品表(SBOM)の最小要件に関する推奨事項を更新しました。これは、ソフトウェア市場の透明性を促進する同庁の取り組みの最新の一歩です。
「この文書に含まれる更新と追加により、連邦政府機関および他のSBOM利用者がさまざまなユースケースに対応し、生成プロセスを理解し、データ品質を向上させることができるようになります」とCISAは新たな発表で述べており、木曜日に公開されました。
多くの組織は、コードの複雑さのために自分たちが気づいていない欠陥を含むソフトウェアを使用していることから、サイバー攻撃に対して脆弱です。一部のサイバー専門家は、SBOMをソフトウェアの内容を明らかにし、利用者が脆弱性に対処するのを助ける重要なツールと見なしています。機械可読なSBOMは、政府の脅威警告など他のデータソースと組み合わせることで、脆弱なソフトウェア部品に関するアラートなどのガイダンスを作成することができます。
CISAによるSBOMへの継続的な注力は、バイデン政権から続く一貫した取り組みであり、同庁はSBOM推進活動をサイバーセキュリティコミュニティやソフトウェア業界全体で展開しています。
新しいSBOM推奨事項
CISAガイダンスの主な更新点は、SBOMデータフィールド、SBOMの網羅性に対する期待、既知の未知の依存関係の特定の必要性、古い記録の更新の重要性などに対応しています。文書の新しい内容には、ソフトウェアに付随するライセンス、SBOMを作成するために使用されたツールの名称、ソフトウェアの暗号ハッシュなど、いくつかのSBOMデータフィールドが含まれています。改訂版ではまた、SBOMアクセス制御に関する専用セクションを削除し、既存の配布推奨事項に統合しています。
この文書はパブリックコメントを受付中で、10月3日まで意見を募集しています。主に政府機関を対象としていますが、他の組織がベンダーのSBOMに何を期待すべきか理解するのにも役立つよう設計されています。
この文書の変更点は、国家電気通信情報局(NTIA)がSBOM最小要素を2021年に初めて公開して以来、SBOMエコシステムが成長したことを反映しています。CISAはパブリックコメント通知の中で、主な進展として、SBOMツールが作成だけでなく共有や分析にも拡大したこと、より多くの業界がSBOMの設計と利用に関する議論に参加していること、オープンソース開発者がこの動きを加速させていること、専門家がツールの新たな用途を特定していることなどを挙げています。
最新情報をチェックしましょう。Cybersecurity Diveの無料デイリーニュースレターを購読してください。
CISAは「SBOMを、ソフトウェア利用者に関連性のある利用可能なデータを提供し、ソフトウェアサプライチェーンを可視化し、リスク管理プロセスをより良くし、ソフトウェアセキュリティの意思決定を促進する手段として、今後も推進していく」と述べています。
翻訳元: https://www.cybersecuritydive.com/news/cisa-sbom-software-bill-of-materials-guidance-update/758414/
CISAがSBOM推奨事項を更新
ダイブ・ブリーフ
この文書は主に連邦政府機関向けですが、CISAは企業もこれを利用してベンダーにソフトウェア部品表(SBOM)の提供を求めることを期待しています。
この音声は自動生成されています。ご意見があればお知らせください。
サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、ソフトウェア部品表(SBOM)の最小要件に関する推奨事項を更新しました。これは、ソフトウェア市場の透明性を促進する同庁の取り組みの最新の一歩です。
「この文書に含まれる更新と追加により、連邦政府機関および他のSBOM利用者がさまざまなユースケースに対応し、生成プロセスを理解し、データ品質を向上させることができるようになります」とCISAは新たな発表で述べており、木曜日に公開されました。
多くの組織は、コードの複雑さのために自分たちが気づいていない欠陥を含むソフトウェアを使用していることから、サイバー攻撃に対して脆弱です。一部のサイバー専門家は、SBOMをソフトウェアの内容を明らかにし、利用者が脆弱性に対処するのを助ける重要なツールと見なしています。機械可読なSBOMは、政府の脅威警告など他のデータソースと組み合わせることで、脆弱なソフトウェア部品に関するアラートなどのガイダンスを作成することができます。
CISAによるSBOMへの継続的な注力は、バイデン政権から続く一貫した取り組みであり、同庁はSBOM推進活動をサイバーセキュリティコミュニティやソフトウェア業界全体で展開しています。
新しいSBOM推奨事項
CISAガイダンスの主な更新点は、SBOMデータフィールド、SBOMの網羅性に対する期待、既知の未知の依存関係の特定の必要性、古い記録の更新の重要性などに対応しています。文書の新しい内容には、ソフトウェアに付随するライセンス、SBOMを作成するために使用されたツールの名称、ソフトウェアの暗号ハッシュなど、いくつかのSBOMデータフィールドが含まれています。改訂版ではまた、SBOMアクセス制御に関する専用セクションを削除し、既存の配布推奨事項に統合しています。
この文書はパブリックコメントを受付中で、10月3日まで意見を募集しています。主に政府機関を対象としていますが、他の組織がベンダーのSBOMに何を期待すべきか理解するのにも役立つよう設計されています。
この文書の変更点は、国家電気通信情報局(NTIA)がSBOM最小要素を2021年に初めて公開して以来、SBOMエコシステムが成長したことを反映しています。CISAはパブリックコメント通知の中で、主な進展として、SBOMツールが作成だけでなく共有や分析にも拡大したこと、より多くの業界がSBOMの設計と利用に関する議論に参加していること、オープンソース開発者がこの動きを加速させていること、専門家がツールの新たな用途を特定していることなどを挙げています。
最新情報をチェックしましょう。Cybersecurity Diveの無料デイリーニュースレターを購読してください。
CISAは「SBOMを、ソフトウェア利用者に関連性のある利用可能なデータを提供し、ソフトウェアサプライチェーンを可視化し、リスク管理プロセスをより良くし、ソフトウェアセキュリティの意思決定を促進する手段として、今後も推進していく」と述べています。
翻訳元: https://www.cybersecuritydive.com/news/cisa-sbom-software-bill-of-materials-guidance-update/758414/
Published in cybersecuritydive-com