https://www.darkreading.com/vulnerabilities-threats/log4j-and-the-role-of-sboms-in-reducing-software-security-risk
たとえば、影響が少なく悪用される可能性が低いと思われる脆弱性のあるソフトウェアは、低リスクレベルを受け入れるだけで、購入、更新、または保守契約を承認できます。
明らかに、影響が大きく、攻撃の脆弱性の可能性が高いソフトウェアは、拒否する必要がある場合があります。
製品がセキュリティの問題を引き起こしているが(右上)、ソフトウェアのビジネスニーズがリスクを上回っている場合、製品は条件付きで承認されます。
ソフトウェア製品がビジネスクリティカルであるが、セキュリティリスクが高すぎる場合(上記の下の象限)、製品は条件付きで拒否される可能性があります。
セキュリティリスクが高すぎる場合、組織は、展開前に問題の修正を要求するか、脆弱性に対処するソフトウェアの新しいバージョンを待つことができます。
COTSソフトウェアの場合、上記のリスク象限モデルにSBOM出力を適用すると、組織はリスクを積極的に削減し、ビジネスを実行するソフトウェアの脅威を排除するのに役立ちます。
Log4jとソフトウェアセキュリティリスクの軽減におけるSBOMの役割、Walter Capitani、ディレクター、技術製品管理、GrammaTech
security summary
コメント