…レポートで生成されたSBoMに対し、依存関係のグラフにアクセス可能となりました (Ultimateプランで利用可能)。 Document / Epic Dependency ScannngのYarn v4サポート: Ultimateプランで利用可能。 Document / Epic Compliance FrameworkでのSecurity Policyへのリンクを表示: Ultimateプランで利用可能。 Document / Epic Security policyの重…

…思います。 皆さんもSBoM（Software Bill of Materials）ということばを聞いたことがあると思います。 このブログでも何度かSBoM(Software Bill of Materials）やGUACといった関連するツールや仕様について言及してきました。 techblog.ap-com.co.jp techblog.ap-com.co.jp 昨今セキュリティという点では実行環境のセキュリティに加え、SBoMやGUACなどのSoftware Supply …

…今重要度が増しているSBoM対応などもこれらの取り組みの中で進行しているそうです。 これだけ多くの要素をカバーしなければならないため、まだまだ改善の必要性はあるとは思いますが、これだけの組織でこれだけのものを揃えてくるのはさすがだなと感じます。 そして、今回あらためてソフトウェアサプライチェーンセキュリティ対応などを考えると本当に大変なんだな、とあらためて感じます。そして大変であればこそ、Platform Teamの重要性は高まるんだろうなと感じました。 最後に Platfo…

…ればなりません。またSBoMも生成する必要があるでしょう。さらに依存ライブラリについても添付されているであろうSBoMなどを通じ脆弱性がないかどうかを確認しなければなりません。 これらから実行用のコンテナイメージなどを作成すると思いますが、この内容が間違いなく自ら期待した内容のものか（第３者によって書き換えられていないか）を確認するためイメージ等へのサインを付与し、書き換えられていないことを証明できるようにしなければなりません。 また、そのイメージのポリシー／ライセンスが適切…

…ent.com - SBOMの提供 docs.cilium.io - Cilium Mesh isovalent.com Cloud Custodian 各クラウドプロバイダのルールを定義できるエンジンです。 ルールを定義することで、コストを最適化したクラウドインフラストラクチャを作成できます。 cloudcustodian.io CRI-O Podレベルでの監視を行うconmon-rsでのOpen Telemetryのサポートがされたとのことでした。 github.com …

…日Githubから、SBOMのエクスポート機能が提供されたとのアナウンスがありました。 github.blog ちなみにSBOMとは、Software Bill of Materialsの略語であり、ソフトウェアのコンポーネント、 ライブラリ、ツール、およびプロセスを部品とみなし、それらを可視化 した一覧表です。 2021年末に発覚した「Log4j」の脆弱性などをきっかけにソフトウェアサプライチェーン における 脆弱性に注目が集まったことで、ソフトウェアの依存関係を可視化する…

…紹介しておきます。 SBoM（Software Bill of Material）関連についてご紹介したいと思います。 自動車など工業製品を扱っている方は、BoM（部品表）というものに馴染みがあると思います。SBoMはそのソフトウェア版です。 最近のソフトウェアは多くのコンポーネント、特にオープンソースソフトウェア（OSS）を利用していることが 多いと思います（だからこそKubeCon/CloudNative Conが重要なイベントにもなっていますよね）。 先日ご紹介したSo…

…reの機能を活用してSBoM（ソフトウェア部品表）のチェックなどを行おうという セッションも今日行われていました。 SBOM X-Ray Superpowers 私自身SBoMの重要性が増していることは把握していましたが、その背景にあるSoftware Supply Chainに 対する理解が不十分だったと今日のセッションに参加して、認識を新たにしました。 明日以降もSBoMに関するセッションがあり、まだまだ抑えるべき情報が増えそうですが、 これまで個別に認知していたものが、…