ほとんどのソフトウェア組織は、コード管理、ビルド、レジストリ、配信、およびデプロイメントに複数のプラットフォームを使用しています。SDLC とソフトウェア サプライ チェーンのセキュリティを管理するには、GitHub のネイティブ機能を超える統合プラットフォームが必要です。効果的なリスク管理には、コードからクラウドまでの明確なトレーサビリティとガバナンスが必要であり、すべてのコンテナ イメージとリリースされた成果物がそのソースにリンクされていることを確認する必要があります。
組織は、安全なアプリケーション開発のためにさまざまなツールを使用します。このため、安全な開発プロセスの一環として、出力を管理および証明する必要が生じます (EO 14144 で要求されているとおり)。このような証明には、SBOM などの証拠や、コード レビュー スキャン、アーティファクト署名、ビルド分離、出所のキャプチャなどのセキュリティ対策の結果が含まれます。
最新のアプリケーションは複雑で、コンテナ イメージや複合リリースなどの複数の成果物が関係することがよくあります。製品、バージョン、リリース レベルで SDLC とサプライ チェーンのセキュリティを管理することは、必要な証明書を生成し、リスクを分析するために不可欠です。
Scribe Security は、次のサービスを通じてこれらの課題に対処します。
コンテキストポリシーの適用
- カスタム セキュリティ ポリシーは、コード、ビルド、デプロイメントなどの重要なステップでゲート制御として適用され、開発プロセス全体で必要なセキュリティ対策が確実に実施されるようにします。
- Scribe のポリシーは GitOps を介してコードとして管理され、フォーク、カスタマイズ、拡張が可能なコンプライアンス フレームワークにマッピングされた 150 個の事前構築されたセキュリティ ポリシーのカタログを提供します。
- これらのポリシーはバージョン管理されており、改ざん防止が確保され、SDLC 全体にわたって一貫して適用されます。
GitHub の比較:
- 設定オプション: GitHub では、リポジトリまたは組織ごとに設定できるセキュリティ設定 (ブランチ保護、必須レビュー、シークレットスキャンなど) が提供されています。
- 範囲の制限: GitHub ダッシュボード (セキュリティ概要など) は可視性を提供しますが、SDLC 全体にわたってポリシーを適用するわけではありません。
統合性
- Scribe は、複数のゲート (ビルドやアドミッション コントロールなど) での検証を伴うコードとアーティファクトの署名を提供します。
- このプラットフォームは、PKI と Sigstore の統合を使用して顧客管理キーによる署名をサポートします。
GitHub の比較:
- アーティファクトの証明: GitHub Actions は、ビルドの起源をキャプチャし、Sigstore で署名された証明書を生成できます。
- 構成依存: これには意図的な設定が必要であり、顧客管理キーによる署名や複数の検証ポイントでの検証はサポートされていません。
コンプライアンスとサプライチェーンの保証
- Scribe は、SLSA などのフレームワークや EO 14144 などの規制に準拠した機械可読な証明書を継続的に生成します。
- 統合されたセキュリティ証明は、開発プロセスからの証拠を取得し、監査とコンプライアンスのために成果物、製品、リリース レベルで集約できます。
GitHub の比較:
- アーティファクトの由来と SBOM: GitHub はビルドの起源をサポートし、SBOM データをエクスポートできますが、これらの機能はリポジトリまたは成果物レベルで動作し、企業全体のレポートには手動での集計が必要です。
リスク分析
- Scribe は、脆弱性を検出し、整合性違反を特定し、孤立したワークロードにフラグを立て、SDLC ポリシー違反を監視することで、SDLC 全体のリスクを継続的に評価します。
- この統合リスク分析により、修復の優先順位付けに役立つ実用的な洞察が得られます。
GitHub 比較:
- 脆弱性アラート: GitHub は Dependabot や CodeQL などのツールを通じてアラートを提供していますが、リスク データは、より広範なポリシーや整合性の問題の統合分析が行われずにリポジトリごとにサイロ化されることがよくあります。
継続的な発見と系統生成
- Scribe は開発資産の検出を自動化し、コードからクラウドまでの明確な系統を作成し、追跡可能性に欠ける孤立した本番ワークロードを識別します。
GitHub の比較:
- セキュリティ ダッシュボード: GitHub のセキュリティ概要では、リポジトリ全体の脆弱性と構成に関する洞察が提供されます。
- 限定的な検出: GitHub はすべての開発資産を自動的に検出するわけではなく、コードからクラウドまでのエンドツーエンドの系統を提供するわけでもありません。
まとめ
GitHub はさまざまなセキュリティ機能を提供していますが、多くの場合、手動での構成が必要であり、SDLC 全体にわたる統一された継続的な監視が欠けています。Scribe Security は、エンドツーエンドの可視性、コンテキスト ポリシーの適用、統合された認証、ソフトウェア ライフサイクル全体にわたる包括的なリスク分析を提供することで、これらのギャップを埋めます。
もちろん、GitHub のセキュリティ機能は GitHub に限定されていますが、Scribe Security はすべての DevOps プラットフォームと CI/CD ツールをカバーしています。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。
関連記事
