NRI OSSソリューションマガジン  2023.05.24発行 Vol.197

トップページ > NRI OSSソリューションマガジン(メールマガジン) > SBOM提供開始のお知らせ/SBOMが実現するソフトウェア部品構成の可視化とセキュリティ強化【新規1件/更新8件】OSS最新アップデート/ NRI OpenStandiaニュース(Vol.197) 
===================================
※配信停止方法や配信対象等については、このメールの末尾をご覧ください。


───────────────────────────────────
◆◇ NRI OSSソリューションマガジン  2023.5.24発行   Vol.197
───────────────────────────────────
目次
1.【注目】SBOMが実現するソフトウェア部品構成の可視化とセキュリティ強化
2.【新規1件/更新8件】OSS最新アップデート
3.【TOP10】OSS紹介サイトアクセスランキング
4.【今月注目のバグ&セキュリティ情報】

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
1.SBOMが実現するソフトウェア部品構成の可視化とセキュリティ強化
■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■

OSSを選定および利用する上で、セキュリティ面、つまり脆弱性有無の確認は
欠かせない視点の一つです。しかしながら、
脆弱性情報が該当しているかどうかの判断が難しい場合もあります。

例えば、log4jのように別のOSSの中に組み込まれて使われるような
ものの場合、脆弱性情報が発表されたとしても
・いま使っているOSSの中に含まれているかどうか分からない
・含まれていることは分かるが、脆弱性に該当するバージョンか分からない
といったケースが起きる可能性があります。

実際に2021年に発生したlog4jの脆弱性(CVE-2021-44228)では
そういったケースが多く発生しました。こうした問題を解決するために
対象システムや各OSSがどういったソフトウェア部品から構成されているかを
可視化するという考え方があり、これをSBOM(Sofrware Bill of Materials)
と呼んでいます。

BOMとはもともと製造業における「部品表」のことで、
SBOMはこれをソフトウェアにあてはめたものになります。
ソフトウェアでは部品の依存関係が階層的になり、これをSBOMでは
「サプライチェーン」と呼んでいます。

米国はこの問題にいち早く取り組んでおり、
2021年には大統領令が発令されています。
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
第4章:
 Enhancing Software Supply Chain Security. 
 (ソフトウェアサプライチェーンセキュリティの強化)
がSBOMに関するもので、中には「政府が調達するソフトウェアについて
当該指針を遵守するよう要求する」という記載もあります。
また、これを受けてNIST(米国国立標準技術研究所)は
ソフトウェアサプライチェーンのセキュリティ強化に向けたガイダンスを
公開しています。
https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final

日本でも経済産業省のタスクフォースにおいて検討テーマの一つとして
取り上げられており、
今後対応が必要となるシーンが増えていくことが考えられます。
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/009.html

OpenStandiaはこの度、SBOMの提供を開始しました。
オープンソース導入サービスにてお客様に提供したシステムに対して、
SBOMのご提供が可能となります。
SBOM提供サービスについてはこちら
https://openstandia.jp/news/news20230519.html


◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/index.html

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2.OSS紹介ページ 今月のアップデート(新規1件/更新8件)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
 (新規)
containerd (https://openstandia.jp/oss_info/containerd/)

 (更新)
cri-o (https://openstandia.jp/oss_info/cri-o/)
Drupal (https://openstandia.jp/oss_info/drupal/)
Elasticsearch (https://openstandia.jp/oss_info/elasticsearch/)
JBoss (https://openstandia.jp/oss_info/jboss/)
OpenShift (https://openstandia.jp/oss_info/openshift/)
Prometheus (https://openstandia.jp/oss_info/prometheus/)
qmail (https://openstandia.jp/oss_info/qmail/)
Thanos (https://openstandia.jp/oss_info/thanos/)

■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
3.今月のOSS紹介サイト アクセスランキング TOP10
■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
オープンソース情報サイト「OpenStandia OSS紹介サイト」のアクセスTOP10を紹介

↑	1位 (2位)	Keycloak	(https://openstandia.jp/oss_info/keycloak/)
↑	2位 (3位)	MySQL	(https://openstandia.jp/oss_info/mysql/)
↓	3位 (1位)	Apache HTTP Server	(https://openstandia.jp/oss_info/apache/)
→	4位 (4位)	Apache Tomcat	(https://openstandia.jp/oss_info/tomcat/)
→	5位 (5位)	PostgreSQL	(https://openstandia.jp/oss_info/postgresql/)
→	6位 (6位)	PHP	(https://openstandia.jp/oss_info/php/)
→	7位 (7位)	Fluentd	(https://openstandia.jp/oss_info/fluentd/)
→	8位 (8位)	OpenShift	(https://openstandia.jp/oss_info/openshift/)
↑	9位 (ランク外)	MinIO	(https://openstandia.jp/oss_info/minio/)
→	10位 (10位)	Ubuntu	(https://openstandia.jp/oss_info/ubuntu/)


※( )内は前月の順位


◆OSS総合情報サイト「OpenStandia OSS紹介」サイトはこちら
https://openstandia.jp/oss_info/


■□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
4.今月注目のバグ&セキュリティ情報
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■
【Ruby】TimeでReDosの脆弱性

Rubyはオープンソースのオブジェクト指向のプログラミング言語です。

RubyにTimeパーサーが、特定の文字を含む無効なURLを誤って
処理してしまう問題が発見されました。 

この脆弱性を利用された場合、Timeオブジェクトへの文字列の
パース処理の実行時間の増加を引き起こします。

ReDoS の問題は Time gemの 0.1.0、0.2.1 と 
Ruby 2.7.7のTimeライブラリに見つかっています。

詳細は下記関連情報のRuby公式アナウンスをご参照ください。

本脆弱性の影響を受けるRubyのバージョンは下記となります。

 ・Red Hat Enterprise Linux 6
  Ruby

 ・Red Hat Enterprise Linux 7
  Ruby

 ・Red Hat Enterprise Linux 8
  Ruby:2.5/Ruby
  Ruby:2.6/Ruby
  Ruby:2.7/Ruby
  Ruby:3.0/Ruby
  Ruby:3.1/Ruby

 ・Red Hat Enterprise Linux 9
  Ruby
  Ruby:3.1/Ruby

・Ruby
  ~ 2.7.7

関連情報
・Ruby CVE-2023-28756: Time における ReDoS 脆弱性について
 https://www.ruby-lang.org/ja/news/2023/03/30/redos-in-time-cve-2023-28756/



OpenStandia年間サポートサービスでは毎週、セキュリティアラートに
関する情報、及びバグFIXに関する情報を提供しています。

◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/support_services.html


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OpenStandiaのWebページからセミナー申込やお問い合わせ頂いたお客様、
NRIから委託されたOpenStandia営業と名刺交換をさせて頂いたお客様、
NRIが主催、共催、協賛するセミナー、イベントにご参加して頂いたお客様に
送付しております。
◆商品・サービスに関するお問合せはこちら
https://openstandia.jp/site/contact.html
※注意事項は以下のURLをご確認ください。
https://openstandia.jp/mm/mailmag.html
※配信先メールアドレス変更はこちら
https://openstandia.jp/mm/mmchange.html
※配信停止はこちら
https://openstandia.jp/mm/mmstop.html
OSSソリューションマガジンに関するお問合せ:magazine-ossc-ext@nri.co.jp
発信元:株式会社野村総合研究所
https://openstandia.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NRI OSSソリューションマガジン(メールマガジン)トップへ ]
  • OpenStandiaサポート対象オープンソース|50種類以上のOSSのサポートをご提供します。
  • 人気midPoint
  • 人気Keycloak
  • 注目MongoDB
  • ForgeRock AM(OpenAM)
  • ForgeRock IDM(OpenIDM)
  • MongoDB
  • Postfix
  • Apache HTTP Server
  • ZABBIX
  • PostgreSQL
  • Apache Struts
  • Apache Kafka
  • Apache Hadoop
  • Apache Spark
  • Spring Framework
  • Apache Tomcat
  • Solr
  • iBATIS
  • DRBD
  • MySQL
  • JBoss
  • Ruby on Rails
  • Jaspersoft
  • OpenLDAP
  • Apache log4j
  • Apache Subversion
  • ForgeRock DS(OpenDJ)
  • Pacemaker
  • Samba
  • Red Hat Enterprise Linux
  • Nginx
  • BIND
  • Dovecot
  • Pentaho
  • sendmail
  • Courier-IMAP
  • ForgeRock DS(OpenDJ)
  • Heartbeat
  • Hibernate
  • Hinemos
  • MyBatis
  • MySQL Cluster
  • Apache Axis2
  • Squid
  • OpenSSO