[Snyk] SBOM testためしてみた

[Snyk] SBOM testためしてみた

#Snyk
toyoshima-masaya

toyoshima-masaya

facebook logohatena logotwitter logo
Clock Icon2024.12.13

こんにちは、豊島です。

はじめに

2024年8月29日に発表されたSBOMを活用したソフトウェアの脆弱性を管理する具体的な手引でより踏み込んだSBOMの体制整備、管理、運用方法が公開されました。

中でもSBOM取引モデルにある

ソフトウェア部品の受発注において、調達者と供給者の間でSBOMに関して契約に規定すべき事項(要求事項、責任、コスト負担、権利等)について参考となる例を示す。
既存のソフトウェアに関するモデル契約書と組合せることで、SBOMに対応した契約書を作成する際の項目案を提示するもの。

出典:
ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引ver2.0概要資料(PDF形式:1,208KB)(経済産業省)(https://www.meti.go.jp/press/2024/08/20240829001/20240829001-2.pdf)

は今後の動きに注目していく必要がありそうです。

そもそもSBOMとは

https://dev.classmethod.jp/articles/snyk-sbom-202312-kdpn/

上記で詳細に解説されていますが、
JavaScript実行環境の立場から誤解を恐れずに言うと、SBOMファイルはnode_modules,package.json,package-lock.jsonファイルに記載されているパッケージ情報を基に、依存関係、(脆弱性情報)を記載したファイルです。
SBOMファイルはプロジェクト、パッケージのバージョン、依存関係といった最小限の情報を記載しておき、SBOMファイルを使って特定のサービスやSaaSから脆弱性のチェックをしているパターンが多いように感じます。

https://dev.classmethod.jp/articles/amazon-inspector-sbom-generator-detects-misconfiguration-in-dockerfile/

またSBOMファイルを生成、テストするタイミングとしては開発中(利用パッケージが変わる可能性があるフェーズ)というよりは、納品/デプロイ前が適切ではないかと考えています。(経済産業省の資料に記載されている SBOMに対応した契約書を作成する というのも納得できます)

加えてSnykが公開しているParlayというSBOMファイルに脆弱性情報を追加してくれるOSSがあるのですが、これは別の機会に紹介しようと思います。

SBOMを生成、テストしてみる

前提条件

事前準備

SBOMを生成してみる

今回はCycloneDXのフォーマットで出力します(前提条件に記載したドキュメントでその他対応しているフォーマットが確認できます)
リポジトリの任意の階層で下記コマンドを実行するとSBOMファイルが生成されます

snyk sbom --format=cyclonedx1.6+json > cyclonedx1.6_mysbom.json

(厳密にチェックしたい場合は--strict-out-of-syncオプションが有効です)

補足

しっかり検証した訳ではないですが、--strict-out-of-syncオプション無しで

  • node_modulesがあれば参照
  • node_modulesがなければpackage.jsonpackage-lock.jsonを参照(package-lock.jsonがなければ失敗する)
    という結果でした
    npm i->snyk sbom --strict-out-of-sync=trueの流れがベターかと思います

SBOMをテストしてみる

SBOMファイルを指定してコマンドを実行すると結果が返却されます

  • Severity levels(今回はMEDIUMですが、CRITICAL > HIGH > MEDIUM > LOWとレベルが分かれています)
  • 詳細情報が確認できるURL

がポイントになりそうです

snyk sbom test --experimental --file=./cyclonedx1.6_mysbom.json

Testing ./cyclonedx1.6_mysbom.json


Open issues:

× [MEDIUM] Improper Input Validation
  Introduced through: pkg:npm/nanoid@3.3.7
  URL: https://security.snyk.io/vuln/SNYK-JS-NANOID-8492085

╭───────────────────────────────────╮
│  Test summary                                                         │
│    Organization:    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx              │
│    Test type:       Software Bill of Materials                        │
│    Path:            ./cyclonedx1.6_mysbom.json                        │
│                                                                       │
│    Open issues:     1 [ 1 MEDIUM  ]                                   │
╰───────────────────────────────────╯

最後に

今回はSnykでSBOMの生成、テストを実施しました。
SnykはSDLC全体のセキュリティを向上するべく、Shift-Leftの思想で脆弱性をそもそも生み出さないための機能が充実しています。
そこで納品/デプロイ前(開発ライフサイクルの終盤)にSBOMファイルの生成、テストをすることでより強固なセキュリティ体制を整えられるのではと感じています。
どなたかの参考になれば幸いです。

Share this article

facebook logohatena logotwitter logo

関連記事

Snyk Codeの脆弱性結果を見ていく

Snyk Codeの脆弱性結果を見ていく

User avatar
きだぱん
2024.12.04
ギョーソル?ゲーソル?あなたはどうする?

ギョーソル?ゲーソル?あなたはどうする?

User avatar
内田大輝
2024.12.01
「Terraformテスト入門」というタイトルでDevelopersIO 2024 Odysseyに登壇しました #cm_odyssey #devio2024

「Terraformテスト入門」というタイトルでDevelopersIO 2024 Odysseyに登壇しました #cm_odyssey #devio2024

User avatar
佐藤雅樹
2024.07.25
SnykのEnterpriseプランは何ができるの? 〜無料版との違いや便利な機能について〜

SnykのEnterpriseプランは何ができるの? 〜無料版との違いや便利な機能について〜

User avatar
きだぱん
2024.07.17
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.