V5: コンポーネント分析要件

管理目標

コンポーネント分析はサードパーティおよびオープンソースソフトウェアコンポーネントの使用による潜在的なリスク領域を特定するプロセスです。 直接的または間接的なすべてのコンポーネントが分析の候補です。 サードパーティソフトウェアの使用を通じて受け継がれたリスクは、それらに依存するアプリケーションやシステムに直接影響を与える可能性があります。

既知の脆弱性

脆弱性情報には複数の公開情報源および商用情報源があります。 脆弱性は National Vulnerability Database (NVD) などのサービスに公開されたとき、または公開欠陥トラッカー、コミットログ、他の公開ソースにドキュメント化されることで知られるようになります。

コンポーネントバージョンの流通期間

コンポーネントバージョンが指定されている場合には、コンポーネントが時代遅れまたは寿命であるかどうかを判断できます。 時代遅れおよび寿命のコンポーネントは脆弱である可能性が高く、ファーストクラスエンティティとしてサポートされる可能性が低くなります。 時代遅れのコンポーネントは相互運用性の問題によりシステムの修復に時間がかかる可能性があります。 最新のコンポーネントを使用することで、露出時間が短くなります。また、非公開の脆弱性の修正が含まれることもあります。

コンポーネントタイプ

フレームワークおよびライブラリには固有のアップグレードの課題と関連するリスクがあります。 抽象化、結合、およびアーキテクチャ設計パターンは特定のコンポーネントタイプを使用する際のリスクに影響を与える可能性があります。 ライブラリ、フレームワーク、アプリケーション、コンテナ、オペレーティングシステムは一般的なコンポーネントタイプです。

コンポーネント機能

各コンポーネントの目的を特定および分析することで、機能が重複または類似しているコンポーネントの存在が明らかになる可能性があります。 機能ごとのコンポーネント数を最小限に抑え、各機能に最高品質のコンポーネントを選択することで、潜在的なリスクを軽減できます。

コンポーネント数量

オープンソースを使用するための運用コストおよび保守コストは新しいコンポーネントを採用するごとに増加する可能性があります。 時間の経過とともに増大するコンポーネントのセットを保持する能力の低下が予想されます。 これはタイムボックス制約があるチームに特に当てはまります。

ライセンス

サードパーティおよびオープンソースソフトウェアは通常一つ以上のライセンスの下でリリースされます。 選択したライセンスは特定のタイプの使用を許可する場合と許可しない場合があり、配布要件や制限が含まれている場合や、コンポーネントが改変された際に特定のアクションが必要となる場合があります。 組織の目的や能力と相反するライセンスを持つコンポーネントを利用すると、ビジネスにリスクをもたらす可能性があります。

検証要件

#	説明	L1	L2	L3
5.1	コンポーネントはリントツールや静的解析ツールで解析可能である	✓	✓	✓
5.2	コンポーネントは使用前にリントツールや静的解析ツールを使用して解析されている		✓	✓
5.3	リントや静的解析はコンポーネントのアップグレードごとに実行されている		✓	✓
5.4	サードパーティおよびオープンソースコンポーネントで公開されているすべての脆弱性を特定する自動プロセスが使用されている	✓	✓	✓
5.5	確認されたデータフローの悪用可能性を特定する自動プロセスが使用されている			✓
5.6	指定されていないコンポーネントバージョンを特定する自動プロセスが使用されている	✓	✓	✓
5.7	時代遅れのコンポーネントを特定する自動プロセスが使用されている	✓	✓	✓
5.8	寿命またはサポート終了コンポーネントを特定する自動プロセスが使用されている			✓
5.9	コンポーネントタイプを特定する自動プロセスが使用されている		✓	✓
5.10	コンポーネント機能を特定する自動プロセスが使用されている			✓
5.11	コンポーネント数量を特定する自動プロセスが使用されている	✓	✓	✓
5.12	コンポーネントライセンスを特定する自動プロセスが使用されている	✓	✓	✓