ソフトウェアサプライチェーンセキュリティ.

ソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

ソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。

ソフトウェアサプライチェーンセキュリティは、コードをゼロから書くものではなく、多数のソースから組み立てられるものとして扱います。リポジトリの保護、開発者のアイデンティティ、安全な CI/CD、依存関係のキュレーション、SBOM・CBOM の生成、Sigstore・Cosign・in-toto による署名と検証、SLSA に沿った署名付きプロベナンス、脆弱性・シークレット管理、デプロイ時のポリシー適用までを含みます。SolarWinds、Codecov、Log4Shell、XZ Utils、依存関係混同キャンペーンなどの事件を契機に重要性が高まりました。SLSA、NIST SSDF (SP 800-218)、CISA Secure by Design、米国大統領令 14028、EU の Cyber Resilience Act など、いずれも署名・検証・透明性を備えたパイプラインに収れんしています。

ソフトウェアサプライチェーンセキュリティ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: ソフトウェアサプライチェーン保護。