セキュリティブログ

OpenSSL 3.5（LTS）がリリースされました。こちらはLTSのため、2030年4月8日までサポートされるバージョンになります。

SBOMとは・・なんてのはもうわかっている話なので、「じゃあどこが使ってるか」「どこのメーカーからもらえるか」みたいなユースケース(Use Case)のをまとめてみました。2024/12/08作成（以下、更新します）。

2024年も数多くの脆弱性が公開されました。2002年から2024年までの脆弱性をまとめています。こちらのレポートはダウンロードFreeとなっています。PDFの再利用も、出典を明示して頂ければ基本ご自由にお使いいただいて問題ありません。データも公開されているcve.orgからAPIを用いて取得したデータを集計したものになりますので、githubで公開しています。

SLSA (Supply-chain Levels for Software Artifacts) について、SBOM との関係を調べるうちにいくつかわかったこと・翻訳などをまとめておきます。

CVEのPublished Dateを調べていたら、cve.orgのPublished Dateと旧サイト(cve.mitre.org)のPublished Dateが大きく異なることに気が付きました。CVE発行数とかを調査している人には問題となると思いますので、念の為共有しておきます。

「国家のサイバーセキュリティ強化」に向けて2021年に出された大統領令(EO 14028)とC-SCRM/SSDF/SBOMの関係について改めて調べてみましたので、簡単ですがこちらに纏めます。

やや古い情報ですが、2024/02/13にLinux Kernel ProjectがCNA(CVE Numbering Authorities)になりました。これでLinux Kernel Project自身がCVE番号の採番・発行を行えるようになります。

ここでは、2023年11月にリリースされたCVSS v.4.0のユーザガイドの翻訳を載せています。5章（用語集）、および６章（スコアリングルーブリック）に関しては、原文を参照してください。

今回は、LinuxサーバのSSHに多要素認証を加え、よりセキュリティを担保しようと思います。具体的には、Google Authenticatorを使用します。

CISAがOpen Source Software Security Roadmapを出しました。今回はこちらの解説を行います。ざっくりとまとめると、CISAがOSSセキュリティに関してFY24-26で4つのObjective(目的)を立てて実施していきます、というお話です。ツールキットやベストプラクティスの開発と公開、OSSコミュニティとの連携・協力などについて触れられています。