ソフトウェア透明性 攻撃ベクトルを知り、脆弱性と戦うための最新知識【PDF版】

1.攻撃者のインセンティブ／2.脅威モデル／3.画期的な事例1：SolarWinds／4.画期的な事例2：Log4j／5.画期的な事例3：Kaseya社／6.われわれはこれらの事例から何を学ぶことができるのか？／7.まとめ

1.アセスメント／2.SDLアセスメント／3.アプリケーションセキュリティ成熟度モデル／4.アプリケーションのセキュリティ保証／5.ハッシュ化とコード署名／6.まとめ

1.共通脆弱性識別子（CVE）／2.国家脆弱性データベース（NVD）／3.Sonatype OSS Index／4.オープンソース脆弱性データベース／5.グローバルセキュリティデータベース／6.共通脆弱性評価システム（CVSS）…ほか

1.規制におけるSBOM：失敗と成功／2.業界の取り組み：国立研究所／3.この先の歩み方／4.SBOMをほかの証明と併用する／5.まとめ

1.ファームウェアと組み込みソフトウェア／2.オープンソースソフトウェアとプロプライエタリコード／3.ユーザーソフトウェア／4.レガシーソフトウェア…ほか

1.責任共有モデル／2.クラウドネイティブセキュリティの4C／3.コンテナ／4.Kubernetes／5.サーバーレスモデル／6.SaaSBOMとAPIの複雑さ／7.DevOpsとDevSecOpsにおける使用法／8.まとめ

1.ソフトウェア成果物のサプライチェーンレベル／2.成果物の構成を理解するためのGoogle Graph／3.CISのソフトウェア・サプライチェーンセキュリティガイド／4.CNCFのソフトウェア・サプライチェーンのベストプラクティス　…ほか

1.システムと組織のためのサイバーセキュリティ・サプライチェーンリスク管理の実践／2.ソフトウェア検証／3.NISTのセキュアソフトウェア開発フレームワーク（SSDF）／4.NSA：ソフトウェア・サプライチェーンのセキュリティ保護に関するガイダンスシリーズ／5.まとめ

1.ソフトウェアの運動効果／2.レガシーソフトウェアのリスク／3.制御システムにおけるラダーロジックと設定値／4.ICSの攻撃対象領域／5.スマートグリッド／6.まとめ

1.脆弱性開示とPSIRTの対応／2.製品セキュリティインシデント対応チーム（PSIRT）／3.共有するか共有しないか、どれくらいの共有が過剰なのか／4.コピーレフト、ライセンスに関する懸念および「現状の」コード／5.オープンソースプログラムオフィス（OSPO）　…ほか

1.広く深く考える／2.SBOMは本当に必要なのか？／3.SBOMをどうすればよいか？／4.大規模なSBOMの受信と管理／5.ノイズの低減　…ほか

1.新たな取り組み、規制、要件／2.連邦政府のサプライチェーンが市場に及ぼす影響力／3.サプライチェーン攻撃の加速／4.デジタル世界の接続性の高まり／5.次に何が起きるか