ソフトウェアサプライチェーンセキュリティ
ソフトウェアサプライチェーンセキュリティ とは何ですか?
ソフトウェアサプライチェーンセキュリティソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。
ソフトウェアサプライチェーンセキュリティは、コードをゼロから書くものではなく、多数のソースから組み立てられるものとして扱います。リポジトリの保護、開発者のアイデンティティ、安全な CI/CD、依存関係のキュレーション、SBOM・CBOM の生成、Sigstore・Cosign・in-toto による署名と検証、SLSA に沿った署名付きプロベナンス、脆弱性・シークレット管理、デプロイ時のポリシー適用までを含みます。SolarWinds、Codecov、Log4Shell、XZ Utils、依存関係混同キャンペーンなどの事件を契機に重要性が高まりました。SLSA、NIST SSDF (SP 800-218)、CISA Secure by Design、米国大統領令 14028、EU の Cyber Resilience Act など、いずれも署名・検証・透明性を備えたパイプラインに収れんしています。
● 例
- 01
SLSA L3 のプロベナンスと Cosign 検証付きデプロイを含む、エンドツーエンドで署名されたパイプライン。
- 02
キュレートされた内部パッケージプロキシと SBOM に基づく脆弱性対応プロセスの組み合わせ。
● よくある質問
ソフトウェアサプライチェーンセキュリティ とは何ですか?
ソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
ソフトウェアサプライチェーンセキュリティ とはどういう意味ですか?
ソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。
ソフトウェアサプライチェーンセキュリティ からどのように防御しますか?
ソフトウェアサプライチェーンセキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ソフトウェアサプライチェーンセキュリティ の別名は何ですか?
一般的な別名: ソフトウェアサプライチェーン保護。