Viktor Kartashovとの共著。NIST SP 800–190規格は、コンテナ化されたアプリケーションのセキュリティを確保するための構造化されたガイドラインを提供し、イメージの出所からランタイム制御まで、あらゆる側面を網羅しています。急速に変化するDevOps環境でコンテナの利用が急増するにつれ、これらの要件への準拠は不可欠であると同時に、課題も増えています。しかし、ここでのSP 800–190は単なるユースケースに過ぎません。より大きな考え方は、[…]
続きを読むin-totoとは何か、そしてどのようにソフトウェアサプライチェーンを保護するのか?近年見られる3CX、Codecov、Solarwindsといったソフトウェアサプライチェーン攻撃は、従来の開発パイプラインの脆弱性を浮き彫りにしました。これを受けて、オープンソースコミュニティは、ソフトウェアデリバリーのあらゆる段階で整合性を確保するためのフレームワークであるin-totoを開発しました。in-toto […]
続きを読む今日のソフトウェア開発環境では、開発者のプロファイルの多様性は強みであると同時に弱点でもあります。添付の分類法は、善意ではあるものの不完全な「優良開発者」から、AI 生成コードを使用する「市民開発者」、さらには「悪意のある開発者」まで多岐にわたり、経験、意図、行動のさまざまなレベルが、ソフトウェア開発ライフサイクル (SDLC) に重大なリスクをもたらす可能性があることを浮き彫りにしています。Scribe Security は […]
続きを読むScribe Security では、サイバーセキュリティの将来はソフトウェア サプライ チェーンを内側から保護することにかかっていると考えています。そのため、私たちは National Cybersecurity Center of Excellence (NCCoE) のソフトウェア サプライ チェーンと DevOps セキュリティ プラクティス プロジェクトに協力できることを誇りに思っています。このイニシアチブでは、公共部門と民間部門の技術貢献者が集まり、どのように […]
続きを読むほとんどのソフトウェア組織は、コード管理、ビルド、レジストリ、配信、および展開に複数のプラットフォームを使用しています。SDLC とソフトウェア サプライ チェーンのセキュリティを管理するには、GitHub のネイティブ機能を超える統合プラットフォームが必要です。効果的なリスク管理には、コードからクラウドまでの明確なトレーサビリティとガバナンスが必要です。つまり、すべてのコンテナ イメージとリリースされた成果物が […] にリンクされていることを確認する必要があります。
続きを読む連邦政府のソフトウェア セキュリティの状況は、大きな変化を遂げています。2025 年 XNUMX 月、ホワイト ハウスは、連邦政府機関が使用するサードパーティ ソフトウェア サプライ チェーンのセキュリティと透明性を強化することに重点を置いた新しい大統領令を発行しました。この命令は、特に次のことを考慮すると、ソフトウェア プロバイダーが理解し、準備する必要がある重要な変更を導入します。[…]
続きを読む急速に進化する今日のソフトウェア開発環境では、セキュリティとコンプライアンスが最重要事項となっています。組織がサードパーティのコンポーネントやオープンソース ソフトウェアにますます依存するようになるにつれ、ソフトウェアの内部構造を理解することがこれまで以上に重要になっています。そこで登場するのがソフトウェア部品表 (SBOM) です。これは、ソフトウェアを構成するすべてのコンポーネント、ライブラリ、依存関係の詳細なリストです。SBOM を統合すると […]
続きを読む近年、ソフトウェア サプライ チェーン攻撃は、組織とそのサプライヤー間の複雑な関係ネットワークを標的とする、重大なサイバー セキュリティの脅威として浮上しています。この記事では、最近の注目すべきサプライ チェーン攻撃を詳しく取り上げ、その発生方法を調べ、防止と軽減の戦略について説明します。機密データを侵害する侵害から、ソフトウェア サプライ チェーンを悪用する攻撃まで、さまざまな攻撃が存在します。
続きを読むソフトウェア サプライ チェーンのセキュリティ確保は、「ソフトウェア ファクトリー」の発見とガバナンスから始まります。今日のソフトウェア開発環境では、チームはコード リポジトリ、ビルド パイプライン、コンテナー イメージなどの分散資産を扱います。この分散モデルは柔軟性を提供し、生産を高速化しますが、資産を断片化し、ガバナンスとセキュリティ監視を複雑にします。特に […]
続きを読むソフトウェア サプライ チェーンの複雑さが増すにつれ、ソフトウェア コンポーネントの管理とセキュリティ保護はより困難になっています。この問題に対処するために、ソフトウェア開発ライフサイクルにおけるセキュリティ、透明性、コンプライアンスを確保するための重要なツールとして、ソフトウェア部品表 (SBOM) が登場しました。SBOM は、ソフトウェアの作成に使用されるすべてのコンポーネントの包括的な記録です。[…]
続きを読む