MasahiroFujimura

OWASP Security Engineer (Volunteer)

CycloneDX Working Groupのコントリビュータとして活動。 コンテナ脆弱性スキャンツール TrivyへのSBOM実装のコントリビュータ 最近の趣味はファイルシステムやVMイメージのパーサ開発

CloudNative Security Conference 2022 by CloudNative Days

2022/08/05 〜 2022/08/05
  • 国内講演者
  • 民間企業
  • その他職名

MasahiroFujimura

OWASP Security Engineer (Volunteer)

SBOMを利用したソフトウェアサプライチェーンの保護

近年、サプライチェーンセキュリティが大きな話題となっており、著名なnpm, rust, pythonパッケージに対する攻撃も観測されています。これらの対策には自社で開発したソフトウェアだけではなく、依存するOSSを含めた可視化と脆弱性検知が必要になります。 本講演では、プロダクトを安全に開発/運用するための方法として、SBOMと呼ばれるソフトウェアの可視化方法についてご紹介します。SBOMとは何か、どのような課題を解決するのかを紹介した上で、SBOMを生成し脆弱性検知する方法をデモを交えて説明します。