組み込みソフトウェアの脆弱性管理で難しいのは、単に「CVE を検出すること」ではありません。難しいのは、その CVE がどのレイヤーに存在し、製品として本当に影響するのかを判断することです。 コンテナを使っている製品であればコンテナイメージ。Linux ベースであれば OS パッケージ。カーネルモジュールやデバイスドライバ。C/C++ で書かれたアプリケーション。さらに、Yocto や Buildroot で取り込まれる OSS、静的リンクされたライブラリ、設定ファイル、起動スクリプト、証明書、秘密情報。 これらを一つのスキャナでまとめて見ようとすると、どうしても粗くなります。逆に、レイヤーごとに「狙うべきもの」と「適した手段」を分けると、検出結果の解釈がかなり楽になります。 SBOM はこの考え方の土台になります。CISA は SBOM を、ソフトウェアコンポーネントとその関係を把握するための情報として位置づけており、脆弱性把握やサプライチェーンリスク管理に利用できます。NIST SP 800-161 Rev.1 も、製品・サービスのサプライチ

Hi, there. 日々のデスクワーク、少しでも快適にしたいですよね。 今回は、エンジニアの私が「これなしでは仕事にならない」と痛感している2つの愛用デバイスをご紹介します。 LG 27.6インチ 16:18 DualUpモニター 縦長大画面がもたらす圧倒的解放感 まず一つ目は、LGのDualUpモニターです。これを導入してから、資料作成やレビューの効率が劇的に上がりました。 ここが最高 「巨大なExcel」も一画面で攻略 開発に関わるPMやコンサルは、なぜか巨大なExcelが大好きですよね。「そもそもそんなExcel作るなよ」という本音はさておき、業務上避けては通れません。このモニターなら、そんな広大なシートもかなりの範囲を一度に表示できるので、スクロールのストレスが激減しました。 マルチタスクの最適解 画面を上下に分割して「デュアルモニター」として使えるのが非常に便利です。 Web会議をしながら手元で資料を作成したり、レビュー時に2つの資料を並べて見比べたりすることができ、画面を切り替える手間をなくすことができます。 気になる点 価格設定