An Empirical Study on Software Bill of Materials: Where We Stand and the Road Ahead

[matsumokei]

• (https://doi.org/10.48550/arXiv.2301.05362)

  Vocabraly

• practitioner

  • a person who works in a profession, especially medicine or law
  • how practitioners perceive SBOMs SBOMをどのように認識しているか

• readiness

  • 何かの準備段階にあること
  • readiness (for something) the state of being ready or prepared for something

• imminent adjective

  • ​(especially of something unpleasant) likely to happen very soon
  • すぐに起こりそうな
  • imminent issues

• unveil verb

  • 明らかにする
  • unveil something to remove a cover or curtain from a painting, statue, etc. so that it can be seen in public for the first time

• broaden

  • 広がる
  • to become wider

• deepen

  • 深くなること

[matsumokei]

実務家がSBOMをどのように認識しているのか、また、SBOMを実際に採用する際の課題は何なのかは、まだ明らかになっていない。さらに、既存のSBOM関連の研究は、場当たり的で、ソフトウェア工学に重点を置いていない傾向がある。 SBOMの実践者がSBOMの分野をどのように認識しているかを理解するために、5大陸15カ国の17人のインタビュー対象者と65人の調査回答者からデータを収集するために、質的・量的混合法を適用した。SBOMの実践状況について、26の記述を要約し、3つのトピックに分類した。調査結果に基づき、目標モデルを導き出し、実践者が力を注ぐことができる将来の方向性を強調した。

[matsumokei]

Introduction

• SBOMはソフトウェアサプライチェーンの保護に有望であるが、課題も見えている。この論文では、その課題について詳しく調査している。

調査対象組織の 90% が SBOM を開始または計画中であり、54% がすでに SBOM に取り組んでいる。また、2022年と2023年には、SBOMの生産と消費がそれぞれ66％と13％増加すると予測している。それにもかかわらず、一部の組織はSBOMの採用と適用がどのように進展するかについてまだ懸念している（例えば、40％は産業界のSBOMへの取り組みについて不確かであり、39％はSBOMのデータフィールドに関するコンセンサスを求めている）。

Research question

1. SBOMがpracticeに利用されている現状はどうなっているか？ SBOMを利用準備状況が90%を示しているにも関わらず、実使用者がSBOMをどのように認識しているのか？SBOMが実務でどのように取り組まれているか？さらなる調査が必要。この論文では、SBOMの生成から、配布と共有、検証と妥当性確認、脆弱性と悪用可能性の管理まで、SBOMの実践状況を分析した。そして、現在のSBOMの実践状況と実務者が期待していることを要約した。

2. SBOMをサポートするツールの現状は？ SBOMツールの必要性／入手可能性／使用可能性／統合性という観点から、既存のツールに対する職業人の意識を調査した。また、SBOMツールの現状を調査すると同時に、実務家がSBOMツールに期待することも調査した。

3. SBOMに対する主な懸念事項は何か？ SBOM実践者が持つ最も顕著な懸念を調査する。SBOMの将来性は有望であるが、解決すべき課題も残っている。このRQにより、SBOMに関する将来の研究開発にとって最も差し迫った課題の参考となることを目指す。

この研究は、SBOM readiness reportと比較して、4つの主な相違点と貢献がある： 1) 時期性 最新のレヴュー： SBOM readiness reportは2022年1月に発表され、調査は2021年6月に開始された。グーグル・トレンドは、2021年7月以降、SBOMへの関心が大幅に高まっていることを示している。本調査は、SBOMのより最新の見解を提供するものである。

2) ソフトウェア工学（SE）の視点： SBOM readiness reportは、業界指向でセキュリティに焦点を当てたものであるが、本研究は、ソフトウェア開発ライフサイクル全体を通じてのSBOM生成とアップデートおよびAIBOMなどの考察から、SEの視点を広げている。 一応対比表がある。

3) Different objectives 目的の違い :

• SBOM readiness reportの目的
  • 組織がSBOMの生産と消費のために準備しているかどうか、またどの程度準備しているか（準備状況）を調査
• 本論文
  • 実務家の視点から見た現在のSBOMの実践と期待に焦点を当てるSBOMのさらなる実用化に向けた今後の取り組みについて、目標モデルを含む一連の示唆を提供

4）Systematic methodology体系的な方法論 : 実務家の視点からのSBOMの現状に関する初めての実証的研究を、混合方法論を用いて実施。SBOM readiness reportのように事前に定義された質問を使用する代わりに、17人のインタビュー対象者から得た詳細な意見を26の代表的なステートメントに質的・量的にコード化し、15カ国から65人の有効回答者を集めた調査で検証。

[matsumokei]

What is SBOM?

部品表（BOM）は、当初、親アセンブリ内のすべてのサブアセンブリおよびコンポーネントの在庫リストとして製造業で使用されていた[9]。同じ起源を共有する、ソフトウェアサプライチェーンセキュリティを強化するための構成要素としてのSBOMは、ソフトウェア「BOM」である（図1を参照）。主なSBOM標準フォーマットは、a）Software Package Data eXchange（SPDX）、b）CycloneDX、c）Software Identification（SWID）Taggingの3つであるが、最初の2つが最も採用されている[11]。SPDXは、Linux Foundationが主催するオープンソースの国際標準であり、ライセンスコンプライアンスを重視している。CycloneDXは2017年にOWASPによって設計され、セキュリティに主眼を置いている。SWID Taggingもまた、米国国立標準技術研究所によって維持されている国際標準であり、透過的なソフトウェア／コンポーネント識別メカニズムを提供することに重点を置いている。上記の3つの形式はすべて、形式を実際に運用するのに役立つ対応するツールを持っており、図1（AI）ソフトウェアサプライチェーンとSBOM [10]に記載されている。米国国家電気通信情報局（NTIA）傘下のSBOMフォーマットおよびツーリング作業部会が、さまざまな標準をサポートするすべてのツール（すなわち、SPDXリスト、CycloneDXリスト、SWIDリスト）を要約する取り組みを行ったことは、言及に値する。政府側の SBOM への取り組みに関しては、SolarWinds 攻撃のようなインシデントが SSC のセキュリティに警鐘を鳴らす中、米国政府は 2021 年 5 月にサイバーセキュリティの強化に関する大統領令 [12] を発表し、米国政府と取引するすべての企業に SBOM の提供を明確に義務付けた。NTIAは、SBOMの開発を促進するための一連の文書とガイドライン（SBOM最小要素[7]など）を発表した。Cybersecurity and Infrastructure Security Agency (CISA) も、SBOM 産業コミュニティとのリスニング・セッションを定期的に開催することで、SBOM の円滑化に積極的に取り組んでいる。特筆すべきは、Linux Foundation が 2022 年 1 月に発表した SBOM レディネス・レポート [5] で、世界中の 412 組織を調査している。このレポートによると、調査対象組織の 98% がソフトウェア・セキュリティに関心を持っており、80% 以上が米国の大統領令を認識し、90% が SBOM の旅を開始している。SBOMの導入と応用の進化は依然として懸念事項であるが、報告書は、SBOMツール市場は2022年と2023年に爆発的に成長すると予測している。2022年1月現在、市場には約20社のSBOMツールベンダーが存在し、中には2002年までさかのぼるソフトウェア構成分析（SCA）のような隣接市場のものもある[13]。一方、SBOM生成に焦点を当てた様々なオープンソースツールが利用可能である。

しかし、SBOM準備状況報告書は広範なカテゴリーを包括的にカバーしているが、それらの報告書は選択肢の限られた多肢選択式の質問に基づいており、可能な回答が制限されている。NTIAが発表したガイドラインや文書は、SBOMとSBOMの実践を理解するための参考資料にはなるが、SBOM実践者の実際の認識には欠けている。このギャップを埋めるために、我々は17人のSBOM実践者（表I参照）に、彼らが現在のSBOM実践とSBOMツールをどのように認識しているかについて、自由形式の質問でインタビューを行った。そして、より多くの実務家が記述内容を検証できるように、インタビューから得られた記述を含むオンライン調査を実施した。SBOM準備状況報告書やNTIAの文書と比較すると、われわれは、実際のSBOM実践者がSBOMについてどのように考えているか、そして彼らが生産現場でSBOMにどのように取り組んでいるかに焦点を当て、可能な回答を制限することなく行った。

[matsumokei]

study results

研究結果をまとめた10個の要点が以下である：

1.：SBOMによってもたらされる透明性は、説明責任、トレーサビリティ、およびセキュリティを可能にするが、SBOM機能の体系的な消費シナリオ駆動設計が欠如している。

2.： 広く使用されているソフトウェア、特に OSS の大部分には SBOM がない。OSSおよびプロプライエタリソフトウェアのSBOMを生成するインセンティブを普及させる必要がある。

3：SBOM の生成は遅れており、動的でない。理想的には、SBOM はソフトウェア開発の初期段階で生成され、継続的に充実／更新されることが期待されている。

4： SBOM の最小データフィールドに関する公式勧告があるにもかかわらず、SBOM に何を含めるべきかについてのコンセンサスがまだ得られていない。

5：SBOM 内の専有情報や機密情報は、SBOM の配布に障壁をもたらす。選択的共有（コンテンツの調整）およびアクセス制御メカニズムを検討する必要がある。

6：改ざんの脅威を考慮すると、SBOMデータの信頼性を保証する必要がある。SBOMデータの検証／検証メカニズムおよび完全性サービスが必要である。

7：SBOM／VEXによって暴露された、悪用可能性が限定的な脆弱性をどう扱うかが不明確である。

8：SBOM ツールには成熟度が不足している。より信頼性が高く、使いやすく、標準に適合し、相互運用可能な企業レベルの SBOM ツール、特に SBOM 消費ツールが必要である。

9：一連の標準フォーマットは存在するが、さらなるコンセンサス、標準化、および追加拡張点が必要である。

10：SBOM 採用に対する市場の認識と優れた価値提案が不足している。SBOM 提唱者は次のことを行う必要がある：a) SBOM の認知度を向上させるために、関連する規制および調達評価やサプライチェーンリスク管理などのユースケースを活用する。