KubeCon / CloudNativeCon 2022 Detroit Day4 今日はSupply Chain関係のセッションがいくつかありました。そちらの内容についてご紹介しておきます。
SBoM(Software Bill of Material)関連についてご紹介したいと思います。 自動車など工業製品を扱っている方は、BoM(部品表)というものに馴染みがあると思います。SBoMはそのソフトウェア版です。
最近のソフトウェアは多くのコンポーネント、特にオープンソースソフトウェア(OSS)を利用していることが 多いと思います(だからこそKubeCon/CloudNative Conが重要なイベントにもなっていますよね)。 先日ご紹介したSoftware Supply Chainでもご紹介しているように、最近は開発時点からデプロイまでの 部分に攻撃を仕掛けてくることも多く、またセキュリティ対策も開発時点から行う必要があります(セキュリティのシフトレフトですね)
そうした中で脆弱性は重要な課題です。2021年末に話題となったLog4Shellの脆弱性は利用してるOSSや アプリケーションも多く、大きな影響を与えました。しかし、アプリケーション開発者が直接利用をしている ものならば「このバージョン利用しているから対策しなければ」というのはわかりますが、ライブラリが利用 するケースなど、間接的に参照・利用しているOSS・ライブラリは把握できるでしょうか。 最近のアプリケーションではいくつものOSSを活用し、そのOSSも別のOSSを活用するといった形で実現しており その依存関係を把握し、影響範囲特定するのが難しくなってきています。 こうした場合に活用されるのがSBoMです。ライブラリやアプリケーションでそれぞれソフトウェアの部品表 (アプリケーション・ライブラリ名称とそのバージョン)を管理、公開時にはその部品表も含めることで そのアプリケーション・ライブラリを利用する側がすべての構成部品を把握できるようにするものです。 2021年5月にはアメリカ連邦政府のシステムにはこのSBoMを提供しなければならないという大統領令が出され、 注目度もアップしています。
SBoMについては日本でもITニュースで取り上げられたりしているのである程度ご存知な方もいると思います。 注目度があがっていることもあって、ここKubeCon NA 2022でもいくつかのセッションがSBoMについて 言及しています。しかしその主体はやはりSoftware Supply Chainです。
SBoMは青果物に対するものですが、Suplly Chain上の活動のチェックとして SLSLAというものもあるそうです。
SLSAではSupply Chainの成熟度も定義されており、自身がいまどのくらいのレベルかも確認することができます。
この両者を活用して、問題のあるところ、影響範囲、強化すべきところなどを行っていくことになります。
ではそれはどうやるか。その1つの解になるものとして、GUACというものがあります。つい先日発表になったばかりだそうです。
こちらでグラフィカルに依存関係などを確認することができます。
さらに、Software Supply Chainそのものを定義・提供するOSSも登場しています。 それが Cartographer です。これにより、Supply Chainをマネジメントすることも可能になってくるようです。
SBoMについては事前にある程度情報を得ており、実際にはどうなっているんだろうと思って今回KubeConに 参加したのですが、SLSAを含むSupply Chainというかなり広い範囲に話題が広がっていることを感じました。
いろいろな情報が登場し、現在はまだ頭の中が整理しきれていない状態なので、あまり詳しいところは ご紹介できませんが、まずは登場したOSSプロジェクト等だけでもと思い、記載させていただきました。
それでは、次回はまた別のテーマで。
