ソフトウェア透明性 攻撃ベクトルを知り、脆弱性と戦うための最新知識

2020年 SolarWinds Orion Platform の侵害、2021年の Log4Shell 脆弱性と、ソフトウェア・サプライチェイン・セキュリティと言われる分野が大盛り上がりで、日本でも「SBOM がー」とかつぶやく人が増えてきている今日このごろ。この本は、そんな盛り上がりの中、2023年に刊行、24年12月に邦訳されている一冊で、SSS のリスク紹介に始まり、米国政府関係機関(NIST や NTIA、CISA、DoD など)や各種研究団体(SEI や MITRE など)、業界団体(OWASP、OpenSSF など)、ビッグテック(Microsoft、Google など)など諸団体の取り組みや、産業用機器なども含めたソフトウェア・サプライチェインの現状と課題、推奨事項などを概観する。紹介されるガイダンスやフレームワークだけ見てみても、OWASP SCVS、CIS SSSガイド、Microsoft の S2C2F、NIST SSDF などなど、アルファベット・スープにどっぷりで、いずれも概要の紹介に留まるため、この本だけでそのいずれかを理解するのは無理。脆弱性情報一つとっても CVSS が回らなくなってきていて、VEX などリスクベースの指標に起き替わりつつあることや、SBOM フォーマットも LinuxFoundation 主導の SPDX と OWASP 主導の CycloneDX が混在しているなど、脅威がすでに具現化されているわりに、まだまだこれといった印象のソフトウェア・サプライチェーン業界である。