| Item type |
SIG Technical Reports(1) |
| 公開日 |
2023-07-13 |
| タイトル |
|
|
タイトル |
SPDXドキュメントを用いた脆弱性診断とチェックサム検証を行うツール |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A tool for vulnerability assessment and checksum verification using SPDX documents |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
大阪大学大学院情報科学研究科 |
| 著者所属 |
|
|
|
大阪大学大学院情報科学研究科 |
| 著者所属 |
|
|
|
大阪大学大学院情報科学研究科 |
| 著者所属 |
|
|
|
福知山公立大学情報学部情報学科 |
| 著者所属 |
|
|
|
南山大学理工学部ソフトウェア工学科 |
| 著者所属 |
|
|
|
大阪大学大学院情報科学研究科 |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Technology, Osaka University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Technology, Osaka University |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Informatics, The University of Fukuchiyama |
| 著者所属(英) |
|
|
|
en |
|
|
Faculty of Science and Technology, Nanzan University |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Information Science and Technology, Osaka University |
| 著者名 |
岸本, 理央
神田, 哲也
眞鍋, 雄貴
井上, 克郎
肥後, 芳樹
|
| 著者名(英) |
Rio, Kishimoto
Tetsuya, Kanda
Yuki, Manabe
Katsuro, Inoue
Yoshiki, Higo
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
近年のソフトウェア開発ではライブラリが広く利用されている.しかし,その管理は十分ではなく,ライブラリに脆弱性が発見された場合の対応の遅れなどが問題となっている.これらの問題を解決するためにソフトウェア部品表(Software Bill of Materials,SBOM)の利用が推奨されているが,その活用を支援するツールは不足している.そこで,本研究では,SBOM の主要な記述形式の 1 つである SPDX 形式で作成された SBOM を用いたソフトウェアの適切な管理を,既存のツールを組み合わせて行う場合に比べてより省力化することを目的として,SPDX ドキュメントの管理を支援するツール「Osmy」を作成した.Osmy によって,ソフトウェアの脆弱性診断およびチェックサム検証によるソフトウェアの破損・改ざん検知を自動的かつ定期的に行うことができる.また,Osmy によって SPDX ドキュメントの管理が省力化されることを確認し,Osmy が定期実行にあたって十分な速度で動作することも確認した. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Libraries are widely used in recent software development, but their management is insufficient, and there are problems such as delays in responding when vulnerabilities are discovered in the libraries. To solve these problems, the use of software bill of materials (SBOM) is recommended. However, there is a lack of tools to support its use. Therefore, in this study, we developed a tool called “Osmy” to support the management of SBOM created in the SPDX format, one of the major formats of SBOM, with the aim of making the appropriate management of software using SPDX documents more labor-saving than using existing tools. Osmy can automatically and periodically perform software vulnerability assessment and software corruption/falsification detection through checksum verification. We have confirmed that Osmy is fast enough to run on a regular basis, and that it reduces the amount of work required to manage SPDX documents. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AN10112981 |
| 書誌情報 |
研究報告ソフトウェア工学(SE)
巻 2023-SE-214,
号 12,
p. 1-6,
発行日 2023-07-13
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8825 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-SE23214012.pdf (1.2 MB)
