日本シノプシスは4月25日、ソフトウェア構成の解析やSBOM(ソフトウェア部品表)の生成が可能なツール「Black Duck Supply Chain Edition」の提供を開始した。SBOMによりソフトウェアの構成を可視化することで、サプライチェーンで混入するセキュリティーリスクが軽減できるとした。
Black Duck Supply Chain Edition は、サードパーティーから提供されるSBOMのインポートと分析ができる。従来製品で提供していたOSSの読み取りに加え、商用コンポーネントとカスタムコンポーネントの読み取りにも対応したことで、包括的なSBOMの作成が可能になった。また、マルウェア検出機能も追加した。
吉井雅人 マネージャー
従来製品で提供していたソフトウェアに含まれるOSSの検知や、同社が保有するナレッジベースとSBOMを比較したぜい弱性の監視、OSSのライセンスの順守に必要な情報の提供によるコンプライアンス管理の支援などは引き続き備える。
サプライチェーンを活用してソフトウェアを構築する業界や、SBOMも含めて納品することが慣例または義務化された業界、欧州サイバーレジリエンス法の対象になる業界への導入を促す。具体的には、独立系ソフトウェアベンダーや自動車、医療機器、組み込み系の製造業を挙げた。
同社のソフトウェア・インテグリティ・グループの吉井雅人・セキュリティ・エンジニアリング・マネージャーは、「米国大統領令や欧州サイバーレジリエンス法案で、SBOMに言及があり、OSSに潜むリスクの把握や、ソフトウェアのサプライチェーン管理の重要性が高まっている。包括的なSBOMによるソフトウェア構成について安全性の検証は必要不可欠だ」と訴えた。
(大畑直悠)
