Google:SBOMは、既知の脆弱性にマッピングされている場合にのみ有効です from darkreading.com
security summary
むしろ、ドキュメントを既知の脆弱性のデータベースと比較して、既知のソフトウェアの欠陥を特定する必要があります。
Googleのアナリストは、オープンソースの脆弱性(OSV)データベースを使用してKubernetesSBOMドキュメントをマッピングする方法について詳しく説明しています。
「私たちの例ではOSVデータベースにクエリを実行しましたが、SBOMデータを他の脆弱性データベースにマッピングし、VEX(Vulnerability-Exploitability eXchange)などの新しい標準で使用しても、ソフトウェアの脆弱性に軽減された」とブログは述べています。
ソフトウェアコンポーネントを既知の欠陥と結び付けるための手順は、SBOMが意図した目的を達成するのに役立ちます。
「SBOMの普及とツールの改良というこの道を歩み続けることで、すべてのソフトウェアのSBOMをリクエストしてダウンロードできるだけでなく、それらを使用して、使用するソフトウェアに影響を与える脆弱性を理解できるようになることを願っています」と彼らは述べています。
コメント