脆弱性チェック機能を利用する

SBOM・脆弱性情報に対する操作

この機能は、プレビュー版です。プレビュー版では、全てのアカウントで「SBOM登録・脆弱性の継続的チェック」機能を利用できます。 今後、脆弱性チェック結果の管理機能追加などの機能強化を行って正式リリースする際には、Armadillo Twinサービスの有料オプションとして提供する予定です。

Armadilloに適用するSWUイメージはABOSDE (Armadillo Base OS Development Environment) で生成します。この際、SBOM (Software Bill of Materials) も生成できます。

生成したSBOMファイルを、SWUイメージに関連づけてArmadillo Twinに登録すると、Armadillo TwinサービスがSBOMをスキャンします。

Armadillo Twinサービスは、SBOMをスキャンして脆弱性が見つかったかどうかを、SWUイメージ管理画面に表示します。 Armadillo TwinサービスによるSBOMのスキャンは、SBOMを登録した時に加え、登録後、一定間隔（プレビュー版では毎週日曜日の深夜）に行われます。 SBOMの定期スキャンで新たな脆弱性が見つかると、SWUイメージ管理画面の表示に反映させます。

操作は SWUイメージ一覧画面 で行います。詳細は SWU イメージを管理する を参照してください。

注意

本機能ではOSV-Scannerを利用して、脆弱性の検査を実施しています。

OSV-Scannerは脆弱性を確認するため、検査対象のソフトウェアの情報をapi.osv.devに送信しています。送信されるのはソフトウェアに関する以下の情報です。

• パッケージ名
• パッケージエコシステム(npm, crates.ioなど)
• バージョン

ノート

「JC-STAR★1開発ガイド」に当社がどのように脆弱性診断を収集し、セキュリティアップデートの優先度を決定しているかについて記載しています。体制整備等に関する参考情報として、ご活用ください。

SBOM と脆弱性情報の表示

SWUイメージの一覧表示で確認できる項目のうち、「SBOM状態」と「脆弱性」の内容は、それぞれ次の通りです:

• SBOM状態 SBOMが登録されていない場合、メニューボタンを表示します。SBOMを登録済みの場合は、次のいずれかを表示します。
  • 脆弱性なし
  • 脆弱性あり!
  • 脆弱性あり(承認済)
  • チェック中
• 脆弱性 SBOMが登録されていないか、または脆弱性なしの場合、空欄です。検出された脆弱性がある場合は、次のメニュー項目を持つメニューボタンを表示します。
  • ダウンロード
  • 承認

メニューボタンの各メニュー項目について、以下に説明します。

SBOM ファイルを登録する

「SBOM状態」欄のメニューボタンをクリックして「SBOMアップロード」を選択すると、ファイル選択ダイアログが開きます。SWUイメージに対応するSBOMファイルを選択してください。

SBOMファイルを選択して登録すると、「SBOM状態」欄の表示が「チェック中」に変わります。 Armadillo Twinサービスは、SBOMファイルの登録をトリガーとして、そのSBOMファイルをスキャンします。 SBOMファイルのスキャンには、1分程度または、それ以上かかります。 ページをリロードして更新したとき、SBOMファイルのスキャンが終わっていれば「SBOM状態」欄の内容が変わり、脆弱性の有無を表示します。

登録したSBOMファイルは、SWUイメージを削除すると一緒に削除されます。

脆弱性情報をダウンロードする

「脆弱性」欄のメニューボタンをクリックして「ダウンロード」を選択すると、脆弱性内容を記したテキストファイルをダウンロードします。このテキストファイルの内容は、Armadillo製品マニュアルの「生成したSBOMをスキャンする」にある、「OSV-Scannerでソフトウェアの脆弱性を検査する」の説明で示されているものと同様です。

脆弱性情報を承認する

「脆弱性」欄のメニューボタンをクリックして「承認」を選択すると、「SBOM状態」欄の表示が「脆弱性あり(承認済)」に変わります。「承認」メニュー項目は、承認済みの場合は選択できません。 プレビュー版では、一度行った承認を取り消すことは、できません。

SBOMの定期スキャンにより、新たな脆弱性が見つかると、「SBOM状態」欄の表示が「脆弱性あり!」に変わり、未承認の状態となります。