あなたのベンダーのベンダーは、オープンソースのサプライチェーンにリスクを追加します from securityboulevard.com
security summary
「さらに、オープンソース プロジェクトは、常に完全なセキュリティ レビューを受けたり、依存関係のマニフェストを提供したりできるとは限りません」と Skelton 氏は述べています。
「これらのリスクはベンダーのサプライ チェーンを通じて伝播し、これらのオープン ソース コンポーネントに依存する製品にセキュリティの脆弱性を引き起こす可能性があります」
ベンダーのサプライ チェーンに隠されたオープン ソースの脆弱性を見つける
ベンダーのサプライ チェーンにおけるオープン ソースの脆弱性を特定することは容易ではありません。
通常、SLA は直接のベンダーのみを対象としていますが、組織にとって、第 4 または第 5 のライン ベンダーから発生する潜在的なオープン ソースのセキュリティ問題に対処する方法を見つけることが不可欠です。
組織は、オープン ソース コードの使用について開示し、潜在的な脆弱性と依存関係を特定するために SBOM を提供するよう、直接的または間接的にすべてのベンダーに依頼することを躊躇してはなりません。
コメント