• SBOMが実現するソフトウェア部品構成の可視化とセキュリティ強化
• OSS紹介ページ 今月のアップデート
• OSS紹介ページ 今月のアクセスランキング
• 今月注目のバグ&セキュリティ情報

1.SBOMが実現するソフトウェア部品構成の可視化とセキュリティ強化

OSSを選定および利用する上で、セキュリティ面、つまり脆弱性有無の確認は欠かせない視点の一つです。
しかしながら、脆弱性情報が該当しているかどうかの判断が難しい場合もあります。

例えば、log4jのように別のOSSの中に組み込まれて使われるようなものの場合、脆弱性情報が発表されたとしても
・いま使っているOSSの中に含まれているかどうか分からない
・含まれていることは分かるが、脆弱性に該当するバージョンか分からない
といったケースが起きる可能性があります。

実際に2021年に発生したlog4jの脆弱性(CVE-2021-44228)ではそういったケースが多く発生しました。
こうした問題を解決するために対象システムや各OSSがどういったソフトウェア部品から構成されているかを可視化するという考え方があり、これをSBOM(Sofrware Bill of Materials)と呼んでいます。

BOMとはもともと製造業における「部品表」のことで、SBOMはこれをソフトウェアにあてはめたものになります。
ソフトウェアでは部品の依存関係が階層的になり、これをSBOMでは「サプライチェーン」と呼んでいます。

米国はこの問題にいち早く取り組んでおり、2021年には大統領令が発令されています。
https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/
第4章：
Enhancing Software Supply Chain Security.
(ソフトウェアサプライチェーンセキュリティの強化)
がSBOMに関するもので、中には「政府が調達するソフトウェアについて当該指針を遵守するよう要求する」という記載もあります。
また、これを受けてNIST(米国国立標準技術研究所)はソフトウェアサプライチェーンのセキュリティ強化に向けたガイダンスを公開しています。
https://csrc.nist.gov/publications/detail/sp/800-161/rev-1/final

日本でも経済産業省のタスクフォースにおいて検討テーマの一つとして取り上げられており、今後対応が必要となるシーンが増えていくことが考えられます。
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/009.html

OpenStandiaはこの度、SBOMの提供を開始しました。
オープンソース導入サービスにてお客様に提供したシステムに対して、SBOMのご提供が可能となります。
SBOM提供サービスについてはこちら
https://openstandia.jp/event/event20230519.html


◆OpenStandiaサポート対象OSS一覧
https://openstandia.jp/services/#supportlist

2.OSS紹介ページ 今月のアップデート（新規：1件、更新：8件）

（新規）
containerd (https://openstandia.jp/oss_info/containerd/)

（更新）
cri-o (https://openstandia.jp/oss_info/cri-o/)
Drupal (https://openstandia.jp/oss_info/drupal/)
Elasticsearch (https://openstandia.jp/oss_info/elasticsearch/)
JBoss (https://openstandia.jp/oss_info/jboss/)
OpenShift (https://openstandia.jp/oss_info/openshift/)
Prometheus (https://openstandia.jp/oss_info/prometheus/)
qmail (https://openstandia.jp/oss_info/qmail/)
Thanos (https://openstandia.jp/oss_info/thanos/)

3.OSS紹介ページ 今月のアクセスランキングTOP10

オープンソース情報ページ「OpenStandia OSS紹介」のアクセスTOP10をご紹介

↑ 1位 (2位) Keycloak (https://openstandia.jp/oss_info/keycloak/)
↑ 2位 (3位) MySQL (https://openstandia.jp/oss_info/mysql/)
↓ 3位 (1位) Apache HTTP Server (https://openstandia.jp/oss_info/apache/)
→ 4位 (4位) Apache Tomcat (https://openstandia.jp/oss_info/tomcat/)
→ 5位 (5位) PostgreSQL (https://openstandia.jp/oss_info/postgresql/)
→ 6位 (6位) PHP (https://openstandia.jp/oss_info/php/)
→ 7位 (7位) Fluentd (https://openstandia.jp/oss_info/fluentd/)
→ 8位 (8位) OpenShift (https://openstandia.jp/oss_info/openshift/)
↑ 9位 (ランク外) MinIO (https://openstandia.jp/oss_info/minio/)
→ 10位 (10位) Ubuntu (https://openstandia.jp/oss_info/ubuntu/)

※( )内は前月の順位


◆OSS総合情報ページ「OpenStandia OSS紹介」はこちら
https://openstandia.jp/oss_info/

4.今月注目のバグ&セキュリティ情報

【Ruby】TimeでReDosの脆弱性

Rubyはオープンソースのオブジェクト指向のプログラミング言語です。

RubyにTimeパーサーが、特定の文字を含む無効なURLを誤って処理してしまう問題が発見されました。

この脆弱性を利用された場合、Timeオブジェクトへの文字列のパース処理の実行時間の増加を引き起こします。

ReDoS の問題は Time gemの 0.1.0、0.2.1 と Ruby 2.7.7のTimeライブラリに見つかっています。

詳細は下記関連情報のRuby公式アナウンスをご参照ください。

本脆弱性の影響を受けるRubyのバージョンは下記となります。

　・Red Hat Enterprise Linux 6
　　Ruby

　・Red Hat Enterprise Linux 7
　　Ruby

　・Red Hat Enterprise Linux 8
　　Ruby:2.5/Ruby
　　Ruby:2.6/Ruby
　　Ruby:2.7/Ruby
　　Ruby:3.0/Ruby
　　Ruby:3.1/Ruby

　・Red Hat Enterprise Linux 9
　　Ruby
　　Ruby:3.1/Ruby

・Ruby
　　～ 2.7.7

関連情報
・Ruby CVE-2023-28756: Time における ReDoS 脆弱性について
　https://www.ruby-lang.org/ja/news/2023/03/30/redos-in-time-cve-2023-28756/


OpenStandia年間サポートサービスでは毎週、セキュリティアラートに関する情報、及びバグFIXに関する情報を提供しています。


◆OpenStandiaオープンソース年間サポートサービスのご紹介
https://openstandia.jp/services/

• NRI OSSソリューションマガジン（メールマガジン）トップへ