…亀崎です。 少し前にSBOMやGitHub Advanced Securityで実現する ソフトウェアサプライチェーンセキュリティといったものを 紹介させていただきました。そこでSLSAという言葉が登場してきたかと思います。 techblog.ap-com.co.jp techblog.ap-com.co.jp では、SLSAとはどういったものなのでしょうか。今回はその内容をご紹介し、 あらためてGitHub Advanced SecurityとSLSAの関係について整理 し…

…において、GHASはSBoM（ソフトウェア部品構成表）対応の強力な基盤となります。 GHASが提供する「攻め」のコンプライアンス SBoMの自動生成とエクスポート：標準規格（SPDXやCycloneDX）に準拠したSBoMを即座に出力。サプライチェーンの透明性を確保し、監査や顧客からの要望にも迅速に応答可能です。 Dependency Reviewによるゲート機能：プルリクエストの段階で、新規追加されるライブラリの脆弱性やライセンスを自動チェック。「安全性が確認できないものは…

…ェーンセキュリティやSBoMについてお伝えしようと思います。 なお、今回の内容はつぎのセッションの内容をNotebookLMで整理し、自分自身でまとめ直したものです。 youtu.be ソフトウェアサプライチェーンの盲点をなくす：SBoMによる可視化と防御の戦略 現代のソフトウェア開発において、オープンソースソフトウェア（OSS）の利用は避けられませんが、 それは同時にあらゆる側面からの攻撃にさらされていることを意味します。 開発のスピードと安全性を両立させるためには、サプラ…

…ほうでも Your SBOM Is Lying To You – Let’s Make It Honest というセッションがあり、こちらも大変参考になりました。 Log4Jの脆弱性あたりから大きく取り上げられてきたSoftware Supply Chain Security 。このブログでも2022年から取り上げてきていましたね。 techblog.ap-com.co.jp 2022年以降、海外では法律でその作成・公開が義務付けられはじめているSBoMですが、日本ではまだそ…

… ver. 1.6 SBoMをサポート: Ultimateプランで利用可能。 Self-managed版でトークンの有効期限設定を強制するか設定可能に Compliance project reportにて複数のCompliance frameworkから検索が可能に: Ultimateプランで利用可能。 Pipeline execution policyでJob間の名前が衝突したときの挙動を設定可能に: デフォルトでは suffix: on_conflict が設定され、名…

…CycloneDX SBOMの構文エラーなどがあればGItLab画面に表示するよう変更: SBOMなどの機能はUltimateプランで利用可能です。 Dependency / License ScanningでRustをサポート: License ScanningはUltimateプランで利用可能です。 Self-managed版でAdminユーザーがGItLab画面からPersonal access tokenの無効化を可能に タスク管理関連 TaskとMerge requ…

…レポートで生成されたSBoMに対し、依存関係のグラフにアクセス可能となりました (Ultimateプランで利用可能)。 Document / Epic Dependency ScannngのYarn v4サポート: Ultimateプランで利用可能。 Document / Epic Compliance FrameworkでのSecurity Policyへのリンクを表示: Ultimateプランで利用可能。 Document / Epic Security policyの重…

…思います。 皆さんもSBoM（Software Bill of Materials）ということばを聞いたことがあると思います。 このブログでも何度かSBoM(Software Bill of Materials）やGUACといった関連するツールや仕様について言及してきました。 techblog.ap-com.co.jp techblog.ap-com.co.jp 昨今セキュリティという点では実行環境のセキュリティに加え、SBoMやGUACなどのSoftware Supply …

…今重要度が増しているSBoM対応などもこれらの取り組みの中で進行しているそうです。 これだけ多くの要素をカバーしなければならないため、まだまだ改善の必要性はあるとは思いますが、これだけの組織でこれだけのものを揃えてくるのはさすがだなと感じます。 そして、今回あらためてソフトウェアサプライチェーンセキュリティ対応などを考えると本当に大変なんだな、とあらためて感じます。そして大変であればこそ、Platform Teamの重要性は高まるんだろうなと感じました。 最後に Platfo…

…ればなりません。またSBoMも生成する必要があるでしょう。さらに依存ライブラリについても添付されているであろうSBoMなどを通じ脆弱性がないかどうかを確認しなければなりません。 これらから実行用のコンテナイメージなどを作成すると思いますが、この内容が間違いなく自ら期待した内容のものか（第３者によって書き換えられていないか）を確認するためイメージ等へのサインを付与し、書き換えられていないことを証明できるようにしなければなりません。 また、そのイメージのポリシー／ライセンスが適切…

…ent.com - SBOMの提供 docs.cilium.io - Cilium Mesh isovalent.com Cloud Custodian 各クラウドプロバイダのルールを定義できるエンジンです。 ルールを定義することで、コストを最適化したクラウドインフラストラクチャを作成できます。 cloudcustodian.io CRI-O Podレベルでの監視を行うconmon-rsでのOpen Telemetryのサポートがされたとのことでした。 github.com …

…日Githubから、SBOMのエクスポート機能が提供されたとのアナウンスがありました。 github.blog ちなみにSBOMとは、Software Bill of Materialsの略語であり、ソフトウェアのコンポーネント、 ライブラリ、ツール、およびプロセスを部品とみなし、それらを可視化 した一覧表です。 2021年末に発覚した「Log4j」の脆弱性などをきっかけにソフトウェアサプライチェーン における 脆弱性に注目が集まったことで、ソフトウェアの依存関係を可視化する…

…紹介しておきます。 SBoM（Software Bill of Material）関連についてご紹介したいと思います。 自動車など工業製品を扱っている方は、BoM（部品表）というものに馴染みがあると思います。SBoMはそのソフトウェア版です。 最近のソフトウェアは多くのコンポーネント、特にオープンソースソフトウェア（OSS）を利用していることが 多いと思います（だからこそKubeCon/CloudNative Conが重要なイベントにもなっていますよね）。 先日ご紹介したSo…

…reの機能を活用してSBoM（ソフトウェア部品表）のチェックなどを行おうという セッションも今日行われていました。 SBOM X-Ray Superpowers 私自身SBoMの重要性が増していることは把握していましたが、その背景にあるSoftware Supply Chainに 対する理解が不十分だったと今日のセッションに参加して、認識を新たにしました。 明日以降もSBoMに関するセッションがあり、まだまだ抑えるべき情報が増えそうですが、 これまで個別に認知していたものが、…