ソフトウェア制作者は、Scribe を使用して、セキュリティ体制、オープンソースの依存関係のリスク分析、開発慣行に基づいてセキュリティ ガードレールを SDLC に適用できます。 Scribe を使用して、コンプライアンスとソフトウェアのセキュリティに関する選択した証明書を顧客と共有することもできます。
スクライブは外部ソースを収集します
Scribe はデータ ソースと統合して、オープンソースの依存関係のリスクを追跡および分析します。これらの統合により、最新のインテリジェンスが提供されます。これらの情報源には次のようなものがあります。
ユースケースを読むサプライチェーンを保護するために、Scribe は次の種類の証拠を継続的に生成および収集します。たとえば、ビルドを実行するたびに次のようになります。
ソース コード、パッケージ マネージャー、ビルド アーティファクト、ビルド エージェントなどの資産およびアーティファクトのソフトウェア部品表
SDLC ツールチェーン内のアーティファクトとツールのハッシュ値
脆弱性スキャンの結果
開発ツールからのセキュリティ関連の設定
コードコミット、ユーザーID、コードレビューなどのSDLCイベントに関する情報