SCANOSS が SBOM の脆弱性チェックを無料サービスとして発表

マドリッド（PRWEB） 2023 年 1 月 12 日

ソフトウェア構成分析 (SCA) およびオープン ソース インテリジェンスの大手プロバイダーである SCANOSS は、CPE から PURL (パッケージ URL) への関係をオープン ソースとしてリリースすることを発表しました。 この動きにより、組織は SBOM (Software Bills of Materials) の既知の脆弱性を安全かつ匿名で無料で追跡できるようになります。 セキュリティは、ソフトウェア資産の管理に関して最も重要であり、依存関係を追跡および管理する機能は、組織のソフトウェア資産のセキュリティとコンプライアンスを確保するための重要な側面です。

CPE (Common Platform Enumeration) は、オペレーティング システム、アプリケーション、およびハードウェアを含む IT 製品およびプラットフォームの標準化された命名システムです。 CVE (Common Vulnerabilities and Exposures) データベースにリストされている、そのコンポーネントに関連する既知の脆弱性に接続できるようになるため、組織が使用する各オープン ソース コンポーネントの CPE を知ることは重要です。 これらの依存関係を追跡および管理することにより、組織はアプリケーションが安全で準拠していることを確認できます。

一方、PURL はパッケージ固有の URL であり、ソフトウェア資産などのオンライン リソースを識別して検索するために使用できます。 CPE を PURL にリンクすることで、組織はソフトウェア アプリケーションの依存関係をより簡単に追跡および管理できるだけでなく、最新バージョンを使用していることを確認できます。 このプロセスは、SBOM の作成と呼ばれます。SBOM は、ソフトウェア アプリケーションの依存関係と、それぞれに関連する既知の脆弱性の完全なリストです。

CPE から PURL への関係をオープン ソースとしてリリースすることは、組織にとっていくつかの利点があります。 何よりもまず、ソフトウェア アプリケーションの依存関係をより簡単に追跡および管理できるようになり、業界の規制に確実に準拠し、セキュリティの脆弱性のリスクを最小限に抑えることができます。 また、組織はソフトウェア資産に関する情報をサプライヤーや顧客などの他の関係者とより簡単に共有できるようになります。

さらに、CPE と PURL の関係はオープン ソースであるため、組織はシステムの機能をカスタマイズして拡張し、特定のニーズを満たすことができます。 これにより、ビジネス固有の要件をより適切に満たし、システムの利点を十分に活用できるようになります。

全体として、SCANOSS によるオープン ソースとしての CPE から PURL への関係のリリースは、ソフトウェア アプリケーションの依存関係をより効果的に追跡および管理しようとしている組織にとって重要な進展です。 これにより、業界の規制へのコンプライアンスを確保し、セキュリティの脆弱性のリスクを最小限に抑え、他の関係者とより簡単に情報を共有できるようになります。 CVE データベースにリストされている既知の脆弱性に CPE を接続する機能は、組織のソフトウェア資産のセキュリティとコンプライアンスを確保するために特に重要です。

SCANOSS は、最新の DevSecOps とサプライ チェーン向けに特別に構築された、オープンで構成可能な初の OSS Inventory & Intelligence プラットフォームであり、広範な DevOps チームとサプライ チェーン パートナーに対して、より優れたライセンス、セキュリティ、品質、出所の可視性を提供できるようにします。 開発者は、開発者とそのチームが完全に信頼できる優れた準拠コードの作成に集中できるようになるため、アプリケーションはより早く完成し、品質は一貫して高くなり、開発コストは劇的に削減されます。 詳細については、次を参照してください。 https://scanoss.com/landing/purl2cpe.

ソーシャルメディアまたは電子メールで記事を共有する：