From c93542701a7cee0e776b49a3577c51e7feb22ad2 Mon Sep 17 00:00:00 2001 From: Hiro Fukuchi Date: Thu, 9 Nov 2023 14:23:39 +0900 Subject: [PATCH] Update SBOM_tools.md added security tools --- .../SBOM/SBOM_Tools_Document/SBOM_tools.md | 17 ++++++++++++++++- 1 file changed, 16 insertions(+), 1 deletion(-) diff --git a/subgroups/sbom-sg/outcomes/SBOM/SBOM_Tools_Document/SBOM_tools.md b/subgroups/sbom-sg/outcomes/SBOM/SBOM_Tools_Document/SBOM_tools.md index 02d08132..f85c9532 100644 --- a/subgroups/sbom-sg/outcomes/SBOM/SBOM_Tools_Document/SBOM_tools.md +++ b/subgroups/sbom-sg/outcomes/SBOM/SBOM_Tools_Document/SBOM_tools.md @@ -78,4 +78,19 @@ |SBOM Converters | Syft | CycloneDX, SPDX | Syftは、DockerイメージとプロジェクトからSyft、SPDX、CycloneDX SBOMを生成するバイナリツールです。このツールは幅広い言語をサポートしており、作業環境に非常に柔軟に対応できます。 | Syft is a binary tool that generates Syft, SPDX, and CycloneDX SBOMs from Docker Images and Projects. This tool supports a large range of languages making it very flexible to its working environment. | 🎯 GitHub: https://github.com/anchore/syft 🎯 Releases: https://github.com/anchore/syft/releases 🎯 Anchore: https://anchore.com/ 🎯 More About GO Templates: https://pkg.go.dev/text/template 🎯 Learn More About CycloneDX: https://cyclonedx.org/ 🎯 Learn More About SPDX: https://spdx.dev/| |SBOM Converters | SPDX Online Tool | SPDX | SPDXオンラインツールは、ツールをダウンロードまたは設定することなく、SPDX SBOMを簡単に操作できるWebサイトです。 ❗更新❗ SPDXオンラインツールには、録画時にはなかった 「NTIA適合性チェッカー」 機能が追加されました。この機能は、SPDX SBOMを取得し、NTIAの 「SBOMの最小要素」 要件を満たしているかどうかをチェックします。 🎯ソースコード :https://github.com/spdx/ntia-conforma ... 🎯"SBOMの最小要素":https://www.ntia.doc.gov/files/ntia/p ...| The SPDX Online Tool is a website to easily work with SPDX SBOMs without the need to download or set up a tool. ❗UPDATE❗ SPDX Online Tool now has a `NTIA Conformance Checker' feature that was not present at the time of recording. This feature takes an SPDX SBOM and checks if it meets the NTIA's "Minimum Elements for an SBOM" requirements. 🎯 Source Code: https://github.com/spdx/ntia-conforma... 🎯 "Minimum Elements for an SBOM": https://www.ntia.doc.gov/files/ntia/p...|Resources 🎯 GitHub: https://github.com/spdx/spdx-online-tools 🎯 Website Link: https://tools.spdx.org/app/ 🎯 SPDX License Repo: https://github.com/spdx/license-list-data 🎯 Learn More About SPDX: https://spdx.dev/| |SBOM Converters | Lib4SBOM | CycloneDX, SPDX | Lib4SBOMは、ソフトウェア部品表 (SBOM) を解析および生成するPythonライブラリです。SPDXおよびCycloneDXフォーマットをサポートしています。| Lib4SBOM is a Python library that parses and generates Software Bills of Materials (SBOMs). It supports SPDX and CycloneDX formats. | 🎯 GitHub: https://github.com/anthonyharrison/lib4sbom 🎯 Learn More About SPDX: https://spdx.dev/ 🎯 Learn More About CycloneDX: https://cyclonedx.org/| - +|:----|:----|:----|:----|:----|:----| +|Security Tools | Sonatype Nancy | |Sonatype Nancyは、Go環境向けのセキュリティスキャナです。|Sonatype Nancy is a security scanner for go environments. | 🎯 GitHub: https://github.com/sonatype-nexus-community/nancy| +|Security Tools | Jake | CycloneDX | Jakeは、マニフェストファイルを介してCycloneDX SBOMを生成し、Sonatypeデータベースでセキュリティスキャンを実行するPythonパッケージです。⚠️編集9/26/2022 ⚠️ JakeはSonatypeの 「コントリビューション」 ですが、Sonatypeではサポートされていません。詳細情報:https://github.com/sonatype-nexus-com ... | Jake is a python package that generates CycloneDX SBOMs via Manifest files and performs Security scans with Sonatype Databases. ⚠️Edit 9/26/2022 ⚠️ Jake is a 'contribution' by Sonatype, but it is not supported by Sonatype. Read More: https://github.com/sonatype-nexus-com... | 🎯 GitHub: https://github.com/sonatype-nexus-community/jake🎯 Learn More About CycloneDX: https://cyclonedx.org/| +|Security Tools |Retire.js| | Retire.jsはJSプロジェクト用のオープンソースのセキュリティツールで、Webブラウザー拡張機能としてインストールできます。 | Retire.js is an open source security tool for JS projects and can be installed as a web browser extension. | 🎯 GitHub: https://github.com/RetireJS/retire.js 🎯 Retire.js Homepage: https://retirejs.github.io/retire.js| +|Security Tools | Pip-Audit | | Pip-Auditは、脆弱なパッケージをスキャンするPythonプロジェクトスキャナーです。| Pip-Audit is a python project scanner that scans for Vulnerable Packages. | 🎯 GitHub: https://github.com/trailofbits/pip-audit| +|Security Tools |ShiftLeft Scan| | ShiftLeft Scanはオープンソースセキュリティツールであり、ローカルプロジェクトの脆弱性をスキャンするためにコンテナー内で実行されるDockerイメージです。これらのスキャンは、結果のエグゼクティブサマリーと、脆弱なコンポーネントハッシュやシークレットの監査結果を含むその他の情報を生成します。| ShiftLeft Scan is an Open Source Security Tool is a Docker Image that runs within a container to scan local projects for vulnerabilities. These scans generate an executive summary of the results and other information, including vulnerable component hashes and secrets audit findings. | 🎯 GitHub: https://github.com/ShiftLeftSecurity/sast-scan 🎯 Official Documentation: https://slscan.io/en/latest/ 🎯 Installing Docker: https://docs.docker.com/get-started/#download-and-install-docker | +|Security Tools | OSS Review Toolkit | | OSS Review Toolkit (ORT) は、プロジェクトディレクトリをスキャンしてさまざまな形式の一連のセキュリティレポートを生成できるオールインワンCLIプロジェクトユーティリティツールです。| OSS Review Toolkit, or ORT, is an all-in-one CLI Project Utility Tool that can scan Project Directories to generate a series of security reports in various formats. | 🎯 GitHub: https://github.com/oss-review-toolkit/ort | +|Security Tools |Coinbase Salus| | Coinbase Salusは、さまざまなプロジェクトに脆弱性や不適切なコーディングがないかをスキャンするセキュリティスキャンツール。| Coinbase Salus is a Security Scanning Tool that scans various projects for any vulnerabilities or poor coding practices. | 🎯 GitHub: https://github.com/coinbase/salus 🎯 Custom Config Files: https://github.com/coinbase/salus/blo…| +|Security Tools |Open Source Vulnerability Detector| | オープンソース脆弱性検出器は、プロジェクトのロックファイルを使用して脆弱性スキャンを実行するバイナリです。| The Open Source Vulnerability Detector is a binary that performs Vulnerability Scans using a project's lock files. In this video, we will show how to use the binary to scan a series of projects. | 🎯 GitHub: https://github.com/G-Rath/osv-detector 🎯 GitHub Releases: https://github.com/G-Rath/osv-detector/releases| +|Security Tools |Tern|CycloneDX, SPDX| TernはLinux上のDockerイメージ用のSBOMジェネレータです。Ternはさまざまなシェルスクリプトを使用して、Dockerコンテナの構築に使用されるさまざまなレイヤを解析し、各レイヤの依存関係に関する非常に詳細なレポートを作成します。また、このツールはSPDXやCycloneDX SBOMを含む一連のSBOMを作成することもできる。さらに、TernにはDocker-Lock機能があり、Dockerfileを他のロックファイルと同様に実行時により正確なバージョンに変換する。| Tern is an SBOM Generator for Docker Images on Linux. Tern makes use of various shell scripts to parse through the various layers used to build Docker Containers to create very detailed reports about each layers respective dependencies. The tool can also can create a series of SBOMs, including SPDX and CycloneDX SBOMs. Additionally, Tern has a Docker-Lock feature, which takes Dockerfiles and converts them into more runtime-accurate versions like other lock files. | 🎯 GitHub: https://github.com/tern-tools/tern 🎯 Tern GitHub Action: https://github.com/marketplace/actions/tern-action 🎯 Tern GitHub Action Demo Repo: https://github.com/JeroenKnoops/tern-action-examples 🎯 Scancode: https://github.com/nexB/scancode-toolkit 🎯 cve-bin-tool: https://github.com/intel/cve-bin-tool 🎯 Learn More About CycloneDX: https://cyclonedx.org/ 🎯 Learn More About SPDX: https://spdx.dev/| +|Security Tools | OchronaCLI | CycloneDX | OchronaCLIは、Pythonプロジェクトをスキャンして脆弱なパッケージを検出する脆弱性スキャナーです。このツールには、CycloneDX SBOMを生成する機能など、環境のニーズに最適な機能が多数用意されています。| OchronaCLI is a Vulnerability Scanner that scans Python Projects for vulnerable packages. This tool provides a number of features to help best suit your environment needs, including the ability to generate CycloneDX SBOMs. | 🎯 GitHub: https://github.com/ochronasec/ochrona-cli 🎯 More About Ochrona: https://ochrona.dev/ 🎯 Ochrona Vulnerability Database: https://github.com/ochronasec/ochrona_python_vulnerabilities 🎯 Learn More About CycloneDX: https://cyclonedx.org/| +|Security Tools |Grype|CycloneDX, SPDX| Grypeは、プロジェクトとSBOMをスキャンして安全であることを確認するバイナリツールです。Grypeには、大規模で適切に管理されたデータベースがあり、最適に機能するようにGrypeを設定するための一連のカスタマイズ可能なオプションがあります。| Grype is a Binary tool that scans Projects and SBOMs to find ensure they are secure. Grype has a large and well maintained database and has a series of customizable options to configure Grype to best work for you. | 🎯 GitHub: https://github.com/anchore/grype 🎯 Releases: https://github.com/anchore/grype/releases 🎯 Anchore: https://anchore.com 🎯 Grype Vulnerability Database: https://github.com/anchore/grype#grypes-database 🎯 More About GO Templates: https://pkg.go.dev/text/template 🎯 CycloneDX with Embed VEX: https://cyclonedx.org/capabilities/vex 🎯 Learn More About CycloneDX: https://cyclonedx.org/ 🎯 Learn More About SPDX: https://spdx.dev/| +|Security Tools |AuditJS| | AuditJSは、ノードプロジェクトの脆弱性スキャナーを簡単に使用できるCLIツールです。| AuditJS is a CLI Tool easy to use vulnerability scanner for Node Projects | 🎯 GitHub: https://github.com/sonatype-nexus-community/auditjs 🎯 Learn More About SPDX: https://spdx.dev/ 🎯 Learn More About CycloneDX: https://cyclonedx.org/| +|Security Tools |Kics| |Kicsは、さまざまなインフラストラクチャと互換性のある脆弱性、コンプライアンス、およびインフラストラクチャの構成ミスをスキャンするツールです。Kicsは、Azure、AWS、Bitbucketなど、多くのプラグインでCI/CDをサポートしている。|Kics is a vulnerability, compliance, and infrastructure misconfiguration scanner compatible with many different infrastructures. Kics has CI/CD support through many plugins, including Azure, AWS, Bitbucket, and more. | 🎯 GitHub: https://github.com/Checkmarx/kics 🎯 Kics Website: https://docs.kics.io/latest/ 🎯 Learn More About SPDX: https://spdx.dev/ 🎯 Learn More About CycloneDX: https://cyclonedx.org/| +|Security Tools |Cosign|CycloneDX, SPDX| Cloud Native Computing Foundationによって開発されたツールであるCosign。Cosignは、サプライチェーンの透明性を高め、組織がソフトウェアイメージの認証と整合性を検証できるようにするイメージ署名を可能にします。ソフトウェア部品表 (SBOMS) は、イメージの共同署名と統合することもでき、トレーサビリティによってリスク管理を向上させることができます。 | an in-depth exploration of Cosign, a tool developed by the Cloud Native Computing Foundation. Cosign allows for image signing which enhances supply chain transparency and enables organizations to verify the authentication and integrity of software images. Software Bill of Materials (SBOMS) can also be integrated with image cosigning, enabling traceability for improved risk management. | 🎯 GitHub: https://github.com/sigstore/cosign 🎯 Learn More About SPDX: https://spdx.dev/ 🎯 Learn More About CycloneDX: https://cyclonedx.org/| +|Security Tools |Trivy | CycloneDX, SPDX | 包括的で汎用性の高いセキュリティスキャナであるTrivy。Trivyは、セキュリティの問題を探すスキャナーと、それらの問題を見つけることができるターゲットを持っています。| Trivy, a comprehensive and versatile security scanner. Trivy has scanners that look for security issues, and targets where it can find those issues.| 🎯 GitHub: https://github.com/aquasecurity/trivy/ 🎯 Learn More About SPDX: https://spdx.dev/ 🎯 Learn More About CycloneDX: https://cyclonedx.org/|