ソフトウェア・インテグリティ

 

Black Duckでソフトウェア部品表を構築する

ソフトウェア・サプライ・チェーンのセキュリティ強化を図るため、Black Duck のSBOMエクスポート・ユーティリティは、米国の大統領令14028号で規定されたNIST規格に準拠しています。

Black Duck SBOM | シノプシス

アプリケーションのセキュリティを強化するために必要な手順は、開発に携わった人員数にかかわらず、アプリケーションの作成に使用される各コンポーネントのサプライチェーンを評価することです。サプライチェーン内のリンクが隠れている場合、アプリケーションが影響を受けやすいリスク量を確実に評価することは困難です。開発組織はソフトウェア部品表(SBOM)を構築することで、ソフトウェアの利用者が特定のアプリケーションに関連するリスクを理解し、それに応じてセキュリティ違反やポリシー違反に対応できるようにするために必要な情報を提供します。

Black Duck SBOMエクスポート・ユーティリティでNIST規格に準拠する

現在のBlack Duck®は、SBOMエクスポート・ユーティリティにアップデートすることで、ユーザーが簡単にソフトウェア・サプライ・チェーンのセキュリティを強化できるようになっています。このユーティリティはSoftware Package Data Exchange(SPDX)2.2仕様(現在はISO規格ISO/IEC 5962:2021)をエクスポートし、大統領令14028号で指定されているNIST規格(SBOMの最小構成はNTIAにて公開)への準拠に必要なフィールドを生成します。この大統領令は、政府機関と民間部門の間でのソフトウェア・セキュリティの透明性を確保することを目的としています。この透明性を実現するための1つの手順として、ベンダーは、自社製品の購入者に標準的な機械可読形式でのSBOMの提供を要求することが義務付けられています。NISTの定義に従い、SPDX形式はこれらの要件を満たしています。

SPDXでSBOMをエクスポートする

Black Duckユーティリティを使用してSPDX形式でSBOMをエクスポートするには、次の3つの簡単な手順を実行します。

  1. 簡単なpip3コマンドを使用してSPDXエクスポート・スクリプトをインストールする。
  2. Black DuckインスタンスとAPIトークンを参照する2つの環境変数を設定する。
  3. 2つの位置引数を追加して、エクスポート・スクリプトを実行する。

スクリプトを実行すると、任意のJSON表示ツールで現在の作業ディレクトリにSPDX出力ファイルを表示できますが、多くのユーザーは、このプロセスをパイプラインの一部として自動化し、後で配布されるSPDX出力をアーカイブして、業界の規制への準拠、契約上の義務の履行、ソフトウェア資産の内部インベントリの維持などに用いることになるでしょう。

Black Duckバージョン2020.10.0以降を実行しているすべてのユーザーは、このユーティリティを無料で利用できます。

詳細はこちら

手順説明のチュートリアルなどのBlack Duck SBOMエクスポート・ユーティリティの詳細については、関連するSynopsysコミュニティの記事をご覧ください。Black Duckコンポジション解析の詳細は、当社Webサイトでご覧いただけます。

 

この著者によるその他の情報