このリリースで
- C/C++ライブラリの改善
- PE情報を利用してDLL/EXEライブラリを検出する
- C/C++ライブラリのシグネチャを追加
- CycloneDXファイルフォーマットの処理をサポート
Software Bill of Materials)テクノロジーバージョン4.0.0の最新の機能強化では、DLLファイルやEXEファイルなどのバイナリコンポーネントのデータベースカバレッジを拡張し、PE(Portable Executable)メタデータによるバイナリ識別を改善し、CycloneDX SBOMレポートの検証とエンリッチメントを可能にしました。
バイナリーの死角
従来のSBOMソリューションは、サードパーティコンポーネントを特定するために、主にパッケージマネージャとマニフェストファイル(requirements.txt、package.jsonなど)に依存している。多くの最新アプリケーションには効果的であるが、このアプローチは、特に次のようなシナリオにおいて、大きな盲点を残す:
- パッケージマネージャが一貫して使用されていないプロジェクト:パッケージマネージャによって追跡されないDLLライブラリを組み込んだC/C++プロジェクトは、SBOM生成ツールから見えないままである可能性がある。
- 埋め込まれたサードパーティバイナリを含むSoftware :インストーラはしばしば、明示的なメタデータなしにサードパーティのバイナリの依存関係を含んでおり、追跡を困難にしている。
- アーティファクトリポジトリのバイナリ形式のライブラリ:JFrog Artifactory、Nexus Repository、Apache Archivaのようなアーティファクトリポジトリは、ライブラリをソースコードではなくバイナリ形式(whl、egg、zip)で格納します。これらのバイナリパッケージには宣言もないため、従来のSBOMの可視性も制限される。
バイナリの依存関係は見えないままであり、インストーラ・パッケージは検査されず、宣言されていない依存関係の脆弱性は追跡できない。
SBOMバイナリー・セキュリティ・ギャップを埋める
これらの重大な盲点に対処するため、OPSWAT SBOM 4.0.0は、複数の補完的なアプローチによって強化された機能を提供する:
バイナリーコンポーネントのデータベースカバレッジ拡大
C、C++、C#バイナリ(DLL、EXE)のシグネチャデータベースを大幅に拡張しました。Software 開発チームは、パッケージマネージャのメタデータが利用できない場合でも、埋め込まれたサードパーティライブラリを識別できます。
今回のアップデートにより、OPSWAT SBOMは、ソースコード、コンパイル済みバイナリ、ソフトウェア・インストーラの包括的なコンポーネント追跡を保証します。
メタデータ分析による正確な図書館識別
当社の新しいリリースでは、PE (Portable Executable) メタデータ分析を活用してバイナリファイルを識別し、既知の脆弱性とライセンスデータベースに照合します。この自動化されたアプローチは、以前は手作業で時間がかかり、エラーが発生しやすいプロセスであったものを置き換えるものです。
どのように機能するか
- OPSWAT SBOMは、バイナリ形式のサードパーティライブラリ(DLL、EXE)を、そのシグネチャとPE(ポータブル実行可能ファイル)メタデータを利用して検出する。
- 抽出されたバイナリ情報は、既知のライブラリとバージョンにマッピングされます。
- これらの調査結果は、当社の脆弱性データベースおよびライセンスデータベースと照合されます。
メリット
- 手動で管理するC/C++ライブラリやインストーラパッケージを含む、サードパーティコンポーネントの特定
- メタデータ解析によるバイナリコンポーネントの識別精度の向上
- パッケージマネージャの宣言がなくても、依存関係を検出することでセキュリティリスクを軽減する。
- 包括的な脆弱性管理とセキュリティ評価を可能にする
メタデータ分析による正確な図書館識別
SBOMと成果物リポジトリとの統合
バイナリライブラリを直接スキャンするだけでなく、OPSWAT SBOMとMetaDefender Software Supply Chain 、JFrog Artifactoryのようなアーティファクトリポジトリとのネイティブ統合をサポートし、オリジナルパッケージをスキャンしてメタデータを取得します。JFrog Artifactory統合の詳細については、こちらをご覧ください。
この相互参照によって、組み込まれたサードパーティ製ライブラリの正確な識別が可能になり、プロジェクト内のバイナリコンポーネントに含まれる重要なセキュリティ情報を見逃すことがなくなる。
CycloneDX SBOMレポートのバリデーションとエンリッチメント
このリリースでは、SBOMレポート(特にCycloneDXフォーマット)の正確性と完全性に焦点を当てた更新が行われた。
CycloneDX は、セキュリティと脆弱性の追跡のために広く使用されているSBOM 形式である。しかし、これらのレポートの中には、ライセンシングデータや宣言されていない依存関係のような洞察が欠けていることが多い。
OPSWAT、多層防御の哲学を信じている。多層的なセキュリティ戦略がマルウェアの検出を向上させるように、多層的なSBOM検証はソフトウェア・サプライチェーンのセキュリティを強化します。この機能強化は、CycloneDXのSBOMレポートを検証して充実させ、より完全なコンポーネント・インベントリを作成します。
どのように機能するか
既存のSBOMのインポート
ユーザーは、分析と検証のためのベースラインとして、CycloneDX形式のSBOMレポートを提供する。
バリデーションとエンリッチメント
OPSWAT SBOMを再スキャンし、リストされたコンポーネントを我々のデータベースと照合し、以下のような欠落している詳細を補足する:
- 脆弱性インサイト(CVE検出と重大度評価)
- ライセンスデータ
- バージョン追跡(古いバージョンと修正パッチ)
さらに、既知のCVEや未承認のライセンスを持つファイルは、事前に設定されたポリシーに基づいてフラグが立てられたり、ブロックされたりします。
拡張SBOMの生成とエクスポート
更新された SBOM には、セキュリティに関する追加の知見が含まれる。強化された知見を JSON、CycloneDX、または SPDX SBOM 形式でエクスポートする。
バイナリ検出が重要な理由
包括的なVulnerability Management
新しいCVEが発表されると、セキュリティチームは、バイナリ形式のコンポーネントであっても、影響を受けるかどうかを即座に評価することができる。これにより、脆弱性対応ワークフローにおけるセキュリティの盲点をなくすことができる。
コンプライアンスと規制への対応
SBOMに対する規制要件や顧客要求の増大に直面している組織は、パッケージ・マネージャで管理されているコンポーネントだけでなく、すべてのコンポーネントが説明されていることを確認することができる。
インストーラーパッケージのセキュリティ評価
Software 配布パッケージには、多くのサードパーティコンポーネントが含まれていることがよくあります。バイナリ検出は、インストーラの可視性を拡張し、顧客に到達するすべての依存関係がインベントリ化され、セキュリティチェックされていることを保証します。
レガシーコードベースのサポート
最新の依存性管理が欠けている古いアプリケーションも、手作業による追跡や大規模な手直しを必要とすることなく、ソフトウェア・サプライチェーン・セキュリティ・プログラムに含めることができるようになった。
OPSWAT SBOMについて
OPSWAT SBOMは、ソフトウェア・アプリケーション・スタック内のソフトウェア・コンポーネントの正確なインベントリを提供することで、ソフトウェアの透明性を実現します。OPSWAT SBOMを使用することで、開発者は既知の脆弱性を特定し、ライセンスを検証し、OSS(オープンソースソフトウェア)、サードパーティの依存関係、コンテナイメージのコンポーネントインベントリを生成することができます。Software 開発チームは、開発速度に影響を与えることなく、コンプライアンスを維持し、攻撃者の先を行くことができます。
SBOMがどのようにお客様のアプリケーションの安全性を確保するかについては、opswat
