Dependency-Trackを用いたSBOM管理
OWASPが開発する脆弱性管理のためのSBOMツール
Dependency-TrackというOWASP (Open Web Application Security Project)が開発するソフトウェアの依存関係を継続的に監視・分析し、セキュリティリスクを可視化・管理するためのオープンソースのセキュリティツールを用いたSBOM管理支援のご紹介です。
このようなお悩みはありませんか?
- 複数のSBOMを一元管理して、セキュリティ脆弱性などに関するリスク管理をおこないたい
- SBOM生成の機能は不要なので、SBOMをインポートしてソフトウェア部品の管理ができるツールがほしい
- OSSの活用規模はソフトウェア構成分析(SCA)ツールを導入するほどではないものの、社内で利用しているOSSの一元管理は求められている
- 国際ルールや業界標準に対応するためにSBOMの管理をはじめたいが、必要な機能だけを備えたツールがわからない
- PSIRTの運用において、ソフトウェアに内在する脆弱性を適切に管理することが求められている
概要
Dependency-Trackとは
OWASP (Open Web Application Security Project)というアプリケーションのセキュリティを誰でも学び、改善できるようにする非営利の国際プロジェクトが開発しているOSSになります。
Dependency-Trackは、SBOMの機能を活用しオープンソースを適切に管理することで、従来のSCAツールでは実現できなかった機能を実現します。
Dependency-Trackの特長
SBOM管理
CycloneDX形式のSBOMを管理することができます。
※Dependency-TrackへSPDXフォーマットのSBOMも取り込みたい場合は別途相談必要。
脆弱性のステータスを徹底管理
National Vulnerability Database (NVD)、GitHub Advisoriesなど、複数の脆弱性インテリジェンスソースをサポートしています。脆弱性のトリアージ機能やカスタム機能、アラート機能などを活用することで脆弱なコンポーネントを管理できます。
ポリシーコンプライアンスの遵守
セキュリティ、運用、ライセンスの各ポリシーによって開発チームやサプライチェーンのパートナー全体で、関連するリスクが迅速に特定されます。
オープンソース
フィードバック対応が早く、継続的に改善が行われているため、リリースサイクルが短いです。
フルスタックインベントリ
すべてのプロジェクトで、アプリケーション、コンテナ、OS、ファームウェア、ハードウェアなどの使用状況を追跡できます。クラウド、エンタープライズ、スマートデバイスなどのフルスタックトレーサビリティを実現します。
APIと統合
APIファーストの設計により、他システムとの統合が簡単にできます。
Dependency-Trackの使い方
Dependency-Trackを用いたSBOM管理の流れ
-
1.構築
Dockerコンテナイメージを取得し、デプロイします。
-
2.ソフトウェア情報の保管
OSSの情報を手動で入力したりSBOMのアップロードをすることでソフトウェア情報を保管します。
-
3.脆弱性・コンプライアンス情報の管理
情報入力後の運用としてDependency-Trackで検知された脆弱性情報やライセンスなどのコンプライアンス情報の管理をします。
Dependency-Trackに関する支援内容
日立ソリューションズでは以下のような支援をおこなっています。
- Dependency-Trackの構築支援
- Dependency-Trackの活用支援
PSIRTの運用を考慮した設計やOpenID Connect(OIDC)によるSSO認証の導入、アクセス制御設計など、お客さまのニーズに合わせた活用方法をご支援させていただきます。
参考価格
各ソリューションの価格に関しましては個別見積もりとさせていただいております。
