S1.1-09

SBOM をスキャンツールにかけることで、その時点でのソフトウェアの脆弱性情報を収集することができます。

ABOS の開発環境である ATDE では、デフォルトで SBOM スキャンツールである OSV-Scanner ^[1]がインストールされています。

図11.1「OSV-Scanner を用いて SBOM をスキャンする」では、例として ATDE 上で OSV-Scanner を用いて ABOSDE で開発したアプリケーションの SBOM (development.swu.spdx.json)をスキャンします。

[ATDE ~]$ osv-scanner scan --sbom ~/my_project/development.swu.spdx.json --format markdown 
Scanned /home/atmark/my_project/development.swu.spdx.json as SPDX SBOM and found 97 packages
5 unimportant vulnerabilities have been filtered out.
Filtered 5 vulnerabilities from output
| OSV URL | CVSS | Ecosystem | Package | Version | Source |
| --- | --- | --- | --- | --- | --- |
| https://osv.dev/CVE-2022-3715 | 7.8 | Debian | bash | 5.1-2+deb11u1 | development.swu.spdx.json |
| https://osv.dev/CVE-2016-2781 | 6.5 | Debian | coreutils | 8.32-4 | development.swu.spdx.json |
| https://osv.dev/CVE-2021-33560 | 7.5 | Debian | libgcrypt20 | 1.8.7-6 | development.swu.spdx.json |
| https://osv.dev/CVE-2024-2236 |  | Debian | libgcrypt20 | 1.8.7-6 | development.swu.spdx.json |

OSV URL 列の URL にアクセスすることで各脆弱性の詳細を確認することができます。

SBOM のスキャンは、そのスキャンを実行した時点での脆弱性情報のみを収集します。 しかし、脆弱性は日々新たに発見され続けるため、 SBOM をスキャンした時点では脆弱性情報が存在しなかったライブラリに対しても、後から脆弱性情報が公開される可能性があります。 そのため、 製品をリリースした後も定期的に SBOM をスキャンして脆弱性情報を収集する必要があります。

「SBOM スキャンツールを用いた脆弱性情報の収集」で紹介したスキャン手順を手動、あるいは CI/CD パイプラインの一部として定期的に実行することで、継続的に脆弱性情報を収集する仕組みを構築しても良いですが、 ABOS では Armadillo Twin と連携することで、 SBOM を Armadillo Twin 上にアップロードするだけで定期的にスキャンを実行し、脆弱性情報を収集する仕組みを提供していますので、そちらを利用することを推奨します。

Armadillo Twin による継続的な SBOM スキャンについては、 Armadillo Twin ユーザーマニュアル 「SWU イメージを管理する」 を参照してください。

アットマークテクノでは、 ABOS のリリースイメージの SBOM を毎日スキャンし、脆弱性情報を収集しています。

また、以下のメーリングリストを購読することでも脆弱性情報を収集しています。

さらに、アットマークテクノでは第三者からの脆弱性情報の報告を受け付けるための窓口(https://www.atmark-techno.com/form/vulnerability_report)も設けています。

アットマークテクノでは、収集した脆弱性情報を以下の基準に従って分析し、優先度を決定しています。

アットマークテクノでは、発見された全ての脆弱性に対して対応を実施するわけではありません。 以下の基準に従って、対応の優先度を決定しています。