WEKO3
アイテム
SBOMを活用したソフトウェアの依存関係取得及び脆弱性対応支援方法に関する検討
https://ipsj.ixsq.nii.ac.jp/records/240905
https://ipsj.ixsq.nii.ac.jp/records/240905098f1331-f39b-4203-bb6f-b1826b8dd072
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-CSS2024159.pdf (551.0 kB)
2026年10月15日からダウンロード可能です。
|
Copyright (c) 2024 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, CSEC:会員:¥0, SPT:会員:¥0, DLIB:会員:¥0 | ||
| Item type | Symposium(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2024-10-15 | |||||||||
| タイトル | ||||||||||
| 言語 | ja | |||||||||
| タイトル | SBOMを活用したソフトウェアの依存関係取得及び脆弱性対応支援方法に関する検討 | |||||||||
| タイトル | ||||||||||
| 言語 | en | |||||||||
| タイトル | Study on methods to obtain software dependencies and support vulnerability handling by using SBOM | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | SBOM,ソフトウェア依存関係,脆弱性,生成AI | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_5794 | |||||||||
| 資源タイプ | conference paper | |||||||||
| 著者所属 | ||||||||||
| 株式会社日立製作所 | ||||||||||
| 著者所属 | ||||||||||
| 株式会社日立製作所 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Hitachi, Ltd. | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Hitachi, Ltd. | ||||||||||
| 著者名 |
加藤, 敦也
× 加藤, 敦也
× 河野, 美沙子
|
|||||||||
| 著者名(英) |
Atsuya, Kato
× Atsuya, Kato
× Misako, Kono
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | 昨今,ITシステムの脆弱性の早期検出・対策のため,ITシステムに含まれるソフトウェアや依存関係をリスト化したデータであるSBOM(Software Bill of Materials)の活用に注目が集まっている.SBOMを活用した脆弱性対応に関して,パッチ提供方法等の違いから,ソフトウェアを開発者が意図して導入したプライマリソフトウェアと,その部品であるセカンダリソフトウェアに分けて考えることが効果的である.ここで,セカンダリソフトウェアに脆弱性が検出された場合では,依存関係による影響を防ぐため,プライマリソフトウェアベンダのパッチによって対応することが基本となると考える.そのため,ソフトウェアの階層も含めた依存関係取得方法が必要となる.本研究では,OSSのSBOM生成ツールであるSyftによって取得されたSBOMの情報から,ソフトウェアの階層も含めた依存関係を特定する手法を提案する.また,提案手法を弊社のITシステムに適用し,脆弱性への対策方針検討に有益であることを確認した.これにより,ITシステム管理者の脆弱性に対する早期対応を支援することが可能になると考えられる. | |||||||||
| 論文抄録(英) | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | Currently, the use of the Software Bill of Materials (SBOM), which is data listing the software and dependencies in IT systems, is attracting attention for the early detection and countermeasure of vulnerabilities in IT systems. Regarding vulnerability countermeasures using SBOM, it is effective to divide software into primary software, which is introduced with the intention of the developer, and secondary software, which is a component of the primary software, due to differences in the way patches are provided and other factors. If vulnerabilities are detected in secondary software, it is basic to apply patches from the primary software vendor in order to prevent the impact of dependencies. Therefore, a method for obtaining software dependencies is needed. In this study, a method is proposed to obtain dependencies, including software hierarchies, from the SBOM information obtained by Syft, an OSS SBOM generation tool. We applied the proposed method to our IT systems and confirmed that it is useful for considering countermeasure plans to vulnerabilities. This would help IT system administrators to take early action against vulnerabilities. | |||||||||
| 書誌情報 |
コンピュータセキュリティシンポジウム2024論文集 p. 1188-1193, 発行日 2024-10-15 |
|||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
