OWASPのCycloneDXがSBOMに最適である理由

Triple-DESが脆弱な暗号化アルゴリズムであることは十分に周知されています。

2016年に研究者はSweet32と呼ばれる誕生日攻撃によって、Triple-DESの短いブロックサイズ（CVE-2016-2183）を世界の様々なプロトコルで悪用することに成功しました。正式にはトリプルデータ暗号化アルゴリズムとして知られるTriple-DESは2018年に非推奨となり米国国立標準技術研究所（NIST）によって2023年以降は使用不可となりました。つまりソフトウェアサプライチェーンの安全確保に関して、いまだにTriple-DESやブルートフォース攻撃を受ける可能性のある脆弱なアルゴリズムを使っているのかを知ることは有益だということです。 そしてCycloneDX 1.6のリリースと暗号化部品表（CBOM）の導入によりついにそれが実現可能となりました。

OWASPの高品質なSBOM

CBOMはCycloneDXプロジェクトを管理するOpen Worldwide Application Security Project（OWASP）が、ソフトウェア部品表（SBOM）を缶スープの原材料ラベルに相当するソフトウェアよりも、はるかに重く、深く、広く、有用なものにするために実施している作業の一例に過ぎません。 結局のところ、Contrast SecurityのCTO兼共同設立者であるJeff Williamsがよく言うように、スープの材料が何であるかを知っているだけでは、それを食べた際に食中毒を防ぐことはできません。同様にソフトウェアが既知の脆弱性を持つコンポーネントを組み込んでいるからといって、それがアプリケーションセキュリティおよびアプリケーション・プログラミング・インターフェース（AppSec/API）リスクをもたらすとは限りません。CycloneDXは、OWASPの説明のとおり現代のソフトウェアがサードパーティやオープンソースのコンポーネントにより複雑かつユニークな方法でそれぞれの機能を実現するためにオリジナルのコードと統合され、糊付けされた塊になっていることが問題視されてから生まれた。実際に現状のソフトウェアはブラックボックスである: それらのコンポーネントが何なのか？セキュアコーディングが断片を寄せ集めるのに使われたかどうか？潜在的に脆弱な関数がアプリケーションによって呼び出されたことがあるのかどうか？誰も知りません。

現在、CycloneDXはソースコードのバイナリ、ライブラリ、コンテナを含むアプリケーションのコンポーネントを記録する基準の1つです。仕様の最新リリースであるバージョン1.5で、OWASPはハードウェアの運用、製造、人工知能を包含するように仕様をさらに拡大しました。 今回の暗号BOMはより包括的なSBOM体験を約束する一連の新BOMのひとつに過ぎずバージョン1.6ではさらに多くのことが期待できます。 最近、我々はOWASP CycloneDXコア・ワーキンググループの議長であるSteve Springett氏を招きCycloneDX 1.5で導入された変更点について、それがソフトウェアの透明性にとって何を意味するのか、そして今後のリリースで何が予定されているのか？について話を聞いた。これにはCBOMも含まれTriple-DESのようなソフトウェアスープに含まれます。どんな奇妙な暗号化にも対応しています。またソフトウェアの製造部品表（MBOM）も含まれます。これはソフトウェア開発プロセスで実際に起こったことに対しどのように何を作るべきかのレシピを記述することができます。「私たちが作成または他から入手したコンポーネントの潜在的なリスクを特定する場合、何がどのように作られたかを知ることは本当に重要です」とSteveは私たちのCode Patrolポッドキャストチャットで語りました。それがどのように問題になるかの一例として、SolarWinds社が2020年に同社のソフトウェア「オリオン」の購入者約1万8000人に対するサプライチェーン攻撃を行ったことが挙げられます。"それは脆弱な要素ではなかった" とSteveは指摘しています。“パイプラインに脆弱性が存在し、それがソフトウェアのデリバリーそのものに影響を及ぼしました。そしてもし製造部品表を適切に保存し管理されていれば、そのデータを使って製造パイプラインにおける潜在的なギャップや弱点を特定しそのギャップを取り除くための対策を積極的に講じることができた可能性があります。以上の理由から我々は製造工程表(MBOM)は透明性を確保するために非常に重要だと考えました”SolarWindsのような壊滅的なソフトウェアサプライチェーン攻撃の可能性を減少させることは称賛に値する目標であり、OWASPメンバーがこの目標やその他のソフトウェアセキュリティ目標を達成するためにCycloneDXプロジェクトに何時間も貢献してくれたことに感謝しています。

CycloneDXプロジェクトに貢献頂ける方は、こちらからサインアップしてください。

ポッドキャストでは、CycloneDXの現行リリースであるCycloneDX 1.5について、またバージョン1.6の詳細について説明しています。

Read more:

• The five dimensions of SBOM quality
• Click here to participate in OWASP's CycloneDX project
• Securing the software supply chain starts with a Software Bill of Materials (SBOM)
• It’s SBOM time!
• Gartner Report: Innovation Insight for SBOMs