組織のサイバーセキュリティ対策として開発工程でのSBOM取組をGitLab各機能がサポートし一部自動化もできる?!
(GitLab社のセキュリティブログから引用)
ソフトウェアの供給チェーンにおけるアプリケーションセキュリティの重要性は、今日の急速に進化するデジタル環境ではますます重要になっています。これがソフトウェア・ビル・オブ・マテリアル(SBOM)が不可欠となる場面です。SBOMはソフトウェアコンポーネントを構成する要素の包括的なリストで、開発ライフサイクル全体で使用されるライブラリ、ツール、プロセスの複雑なネットワークを明らかにします。SBOMは、ソフトウェア製品の潜在的な脆弱性を明らかにし、戦略的なリスク軽減の道筋をつけるだけでなく、アプリケーションの健康状態を改善する戦略を提供します。新たな脅威にあふれる環境での組織のサイバーセキュリティ体制強化につながることが目的とされます。
SBOMは、ソフトウェアコンポーネントを構成する要素のネストされたリストです。SBOMは、ソフトウェア成果物の開発、ビルド、デプロイするために使用されるライブラリ、ツール、プロセスについての重要な情報も含みます。SBOMは、セキュリティ脆弱性の発見と修正のコスト、ソフトウェア供給チェーン攻撃が会社の評判に及ぼす損害、そして内部ポリシーに適合しないライセンスを探すための洞察を提供します。
SBOMのデータ交換標準には、OWASP CycloneDXとSPDXの2つの主要なタイプがあります。GitLabは、SBOM生成のためにCycloneDXを使用します。これは、その標準が規定的でユーザーフレンドリーであり、複雑な関係を単純化し、特化したおよび将来のユースケースをサポートするために拡張可能であるからです。
SBOMとソフトウェア脆弱性管理を組み合わせることの利点は、アプリケーションの追加のソフトウェアコンポーネントが何であり、それらがどこで宣言されているかを理解するための標準的なアプローチを可能にし、アプリケーションの作成の履歴に対する継続的な可視性を提供し、第一者によるコード開発と採用されたオープンソースソフトウェアの両方に対する深いレベルのセキュリティ透明性を提供します。
GitLabは、ソフトウェア・ビル・オブ・マテリアル(SBOM)の自動生成、アプリケーションセキュリティスキャンツールとの連携、ダッシュボードへの脆弱性とライセンスの統合、そして継続的な更新を可能にします。GitLabのDependency List機能は、既知の脆弱性とライセンスデータを一覧にし、依存関係とリスクについての包括的な洞察を提供します。さらに、CIパイプラインでCycloneDX形式のJSONアーティファクトを生成できます。
GitLabは、さらにサードパーティのSBOMを取り込み、サードパーティが開発したコードと採用したオープンソースソフトウェアのセキュリティ透明性を深く提供します。GitLabでは、CI/CDジョブを使用して、複数のCycloneDX SBOMをシームレスに統合して単一のSBOMを作成できます。
これらにより、ソースコード、コンテナ、依存関係、実行中のアプリケーションの脆弱性をスキャンして供給チェーンを保護します。さらに、AI機能を活用したGitLab Duo Vulnerability Explanationは、特定の脆弱性についての説明や修正方法を提供します。また、GitLabのContinuous Vulnerability Scanningは、新たな脆弱性がNational Vulnerability Database(NVD)に報告されると、パイプラインを再実行することなく最新のフィードを取得できます。これにより、GitLabのSBOMは真にダイナミックな性質を持つことができます。
GitLabを使用すると、GitLab Runnerが生成したすべてのビルドアーティファクトの証明を生成できます。このプロセスは、データを外部サービスに渡すことなくGitLab Runner自体が生成するため、安全です。
ソフトウェア供給チェーンのセキュリティは、大手ソフトウェアベンダーへの頻繁な攻撃とオープンソースソフトウェアエコシステムへの攻撃者の集中的な努力のため、サイバーセキュリティとソフトウェア業界で重要なトピックとなっています。GitLabはSBOMをソフトウェア供給チェーンの重要な部分として位置づけ、DevSecOpsプラットフォーム内のSBOM機能を継続的に改善しています。これには、新機能と機能の計画が含まれます。最近のSBOM機能の強化には、証明の自動化、ビルドアーティファクトのデジタル署名、外部生成SBOMのサポートが含まれます。
また、GitLabはプラットフォーム内に堅牢なSBOM成熟度モデルを確立し、SBOMの自動生成、開発環境からのSBOMの取得、アーティファクトのSBOM分析、SBOMのデジタル署名の推進などのステップを含みます。さらに、GitLabは今後のリリースでビルドアーティファクトの自動デジタル署名を追加する予定です。
(本内容に含まれる主なGitLab機能は、Ultimateプランで提供されています。)
以下からGitLab セキュリティブログ「The ultimate guide to SBOMs」本文を確認いただけます。
弊社パートナー様はNetworld Dev Portal アカウント(無料)登録いただくと、GitLabパートナー制度や DevSecOps関連提案資料などのパートナー限定コンテンツがご覧いただけます。
DevSecOps全般、GitLab製品または本サイトについては以下よりお問い合わせ下さい。