SBOMスキャナ
よくあるご質問
SBOMスキャナでよくあるご質問をまとめております。
お問い合わせを頂く前に、まずはこちらのページをご参照いただきますようお願い致します。
| Q | そもそも「SBOM」とは何でしょうか? |
| A |
「Software Bill of Materials」の略称で、ソフトウェアの部品表のことを指します。
イメージとしては、食品のパッケージに書かれている「原材料表示」に似ており、ソフトウェアに含まれる「材料」をリストアップしたものです。このリストには、ソフトウェアを作るために使われたさまざまな部品(プログラムやライブラリなど)がどんなものか、それぞれの「名前」や「バージョン」、「どこが作ったか」が記載されており、そこにライセンス情報も含まれています。 |
| Q | SBOMによる脆弱性診断を行えばWebサイトの脆弱性診断は不要になりますか? |
| A | 一般的にWebサイトの脆弱性診断は、外部からインターネット経由でアクセスします。この診断手法では脆弱性データベースでは管理されているプログラムミス、設定ミスを検出することが不可能です。そのため、両診断を併用することが効果的です。 |
| Q | 解析できるバイナリファイルの種類を教えてください |
| A |
サポートする拡張子のリストを別途提供いたします。
お問い合わせフォームからお申込みよろしくお願いします。 https://sciencepark.co.jp/contact/bugdas/ |
| Q | OSS検出の精度は他社製品と比べてどうなのですか? |
| A |
定量的な基準が存在せず比較は困難です。あるシンクタンクからは、他のバイナリからの検出製品と比べて遜色はなかったと評価を受けています。
|
| Q | バイナリからの検出よりソースコードからの検出の方が精度が高いのでしょうか? |
| A | ソースコードが手に入る環境であれば、その方がいわゆる「見逃し」は減ると思われます。しかしながら誤検知を含めた大量の情報処理が必要になるデメリットもありますし、バイナリからの検出に問題があるわけではありません。 |
| Q | ツールでのSBOM生成精度が100%ではないと思いますが、OSSの検出漏れるとSBOMとして認定されないなどありますか? |
| A | 現状はSBOMに基準や正解はありません。国などの方針としても、まずは「SBOMを使って管理しましょう」ということであり、「精度が100%じゃないからダメ」という話ではありません。 |
| Q | OSSが検出できたとして、脆弱性の情報と突合する際に、いわゆる暗黙的パッチ(OSSのバージョン情報は古いまま、脆弱性のパッチだけあてられる)の誤検出は避けられないのでしょうか? |
| A | OSSのバージョン情報と脆弱性情報を突合させる仕組み上、避けられません。 |
| Q | NVDなどに公開される前の脆弱性情報は検出できませんか? |
| A | 公開されていない脆弱性情報は検出できません。脆弱性情報の拡充については、今後の検討事項となっています。 |
| Q | SBOMスキャナをどのように運用するのがおすすめでしょうか? |
| A | SBOMファイルの作成は、ソフトウェアをバージョンアップするタイミングなどで実施します。一方で脆弱性情報と突合して脆弱性を診断する作業は、可能であれば毎日実施したほうが良いです。これは脆弱性情報が日々更新されるためです。 |
| Q | 脆弱性情報は、どのサイトから参照していますか? |
| A |
5つのサイトから脆弱性データベースを収集し、弊社にてとりまとめを行っています。
サイト:NVD、Redhat、OSV、Gitlab、Curl |
| Q | 脆弱性情報の更新頻度は、どの程度ですか? |
| A | 週1回程度となっています。 |
| Q | 組み込み関連でも対応可能ですか? |
| A | はい。対応可能です。 |
| Q | OSSは、どれでも検出可能でしょうか? |
| A | SBOMスキャナVer.1.1.1の時点では、400程度のものを検出可能です。 |
| Q | SBOMスキャナをインストールしようとすると、エラーでインストールができません。 |
| A |
【メッセージ】 以下の原因が考えられます。 【原因】 【回避策】 |