APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

SBOM の検索結果:

GitLab 17.4の紹介: Code Suggestionsがコンテキストベースでコードを生成 / Advanced SASTのGA / CI/CD変数の強力な保護オプションなど

… ver. 1.6 SBoMをサポート: Ultimateプランで利用可能。 Self-managed版でトークンの有効期限設定を強制するか設定可能に Compliance project reportにて複数のCompliance frameworkから検索が可能に: Ultimateプランで利用可能。 Pipeline execution policyでJob間の名前が衝突したときの挙動を設定可能に: デフォルトでは suffix: on_conflict が設定され、名…

GitLab 17.3の紹介: Root cause analysisのGA / DashboardからのPod削除サポート / Vulnerability resolutionのベータ版など

…CycloneDX SBOMの構文エラーなどがあればGItLab画面に表示するよう変更: SBOMなどの機能はUltimateプランで利用可能です。 Dependency / License ScanningでRustをサポート: License ScanningはUltimateプランで利用可能です。 Self-managed版でAdminユーザーがGItLab画面からPersonal access tokenの無効化を可能に タスク管理関連 TaskとMerge requ…

GitLab 16.11 アップデート内容の紹介

…レポートで生成されたSBoMに対し、依存関係のグラフにアクセス可能となりました (Ultimateプランで利用可能)。 Document / Epic Dependency ScannngのYarn v4サポート: Ultimateプランで利用可能。 Document / Epic Compliance FrameworkでのSecurity Policyへのリンクを表示: Ultimateプランで利用可能。 Document / Epic Security policyの重…

OpenSSF Day Japan 2023に参加してきました

…思います。 皆さんもSBoM(Software Bill of Materials)ということばを聞いたことがあると思います。 このブログでも何度かSBoM(Software Bill of Materials)やGUACといった関連するツールや仕様について言及してきました。 techblog.ap-com.co.jp techblog.ap-com.co.jp 昨今セキュリティという点では実行環境のセキュリティに加え、SBoMやGUACなどのSoftware Supply …

【PlatformCon 2023】Platform Team事例紹介

…今重要度が増しているSBoM対応などもこれらの取り組みの中で進行しているそうです。 これだけ多くの要素をカバーしなければならないため、まだまだ改善の必要性はあるとは思いますが、これだけの組織でこれだけのものを揃えてくるのはさすがだなと感じます。 そして、今回あらためてソフトウェアサプライチェーンセキュリティ対応などを考えると本当に大変なんだな、とあらためて感じます。そして大変であればこそ、Platform Teamの重要性は高まるんだろうなと感じました。 最後に Platfo…

KubeCon EU 2023 : ZeroTrustな脆弱性対策の準備できていますか?

…ればなりません。またSBoMも生成する必要があるでしょう。さらに依存ライブラリについても添付されているであろうSBoMなどを通じ脆弱性がないかどうかを確認しなければなりません。 これらから実行用のコンテナイメージなどを作成すると思いますが、この内容が間違いなく自ら期待した内容のものか(第3者によって書き換えられていないか)を確認するためイメージ等へのサインを付与し、書き換えられていないことを証明できるようにしなければなりません。 また、そのイメージのポリシー/ライセンスが適切…

KubeCon EU 2023 二日目 ~キーノートセッション~

…ent.com - SBOMの提供 docs.cilium.io - Cilium Mesh isovalent.com Cloud Custodian 各クラウドプロバイダのルールを定義できるエンジンです。 ルールを定義することで、コストを最適化したクラウドインフラストラクチャを作成できます。 cloudcustodian.io CRI-O Podレベルでの監視を行うconmon-rsでのOpen Telemetryのサポートがされたとのことでした。 github.com …

SBOMをGUACで可視化してみよう

…日Githubから、SBOMのエクスポート機能が提供されたとのアナウンスがありました。 github.blog ちなみにSBOMとは、Software Bill of Materialsの略語であり、ソフトウェアのコンポーネント、 ライブラリ、ツール、およびプロセスを部品とみなし、それらを可視化 した一覧表です。 2021年末に発覚した「Log4j」の脆弱性などをきっかけにソフトウェアサプライチェーン における 脆弱性に注目が集まったことで、ソフトウェアの依存関係を可視化する…

KubeCon NA 2022 - SBoM関連情報

…紹介しておきます。 SBoM(Software Bill of Material)関連についてご紹介したいと思います。 自動車など工業製品を扱っている方は、BoM(部品表)というものに馴染みがあると思います。SBoMはそのソフトウェア版です。 最近のソフトウェアは多くのコンポーネント、特にオープンソースソフトウェア(OSS)を利用していることが 多いと思います(だからこそKubeCon/CloudNative Conが重要なイベントにもなっていますよね)。 先日ご紹介したSo…

KubeCon NA 2022 - Software Supply Chainのセキュリティ対策はやることがいっぱい

…reの機能を活用してSBoM(ソフトウェア部品表)のチェックなどを行おうという セッションも今日行われていました。 SBOM X-Ray Superpowers 私自身SBoMの重要性が増していることは把握していましたが、その背景にあるSoftware Supply Chainに 対する理解が不十分だったと今日のセッションに参加して、認識を新たにしました。 明日以降もSBoMに関するセッションがあり、まだまだ抑えるべき情報が増えそうですが、 これまで個別に認知していたものが、…