Vibeコーディングプロジェクトに脆弱性が潜んでいる!AIを活用したソフトウェア開発は、SFから現実のものとなりました。AIでコーディングしたプロジェクトは完璧に動作するかもしれません…ハッカーが欠陥を見つけるまでは。この記事では、AIが生成したコードに欠陥や脆弱性が多数含まれていたとしても、信頼できる製品になるまでの道のりを、具体的な手順を追って解説します。[…]
続きを読む開発者の負担を想像してみてください。一日中コーディングに追われ、締め切りが迫り、そして恐ろしいSASTレポートが届きます。何百もの発見事項、それぞれが潜在的な脆弱性であり、細心の注意を払う必要があります。このプロセスは反復的で時間がかかり、正直に言って、時には士気をくじくほどの単調な作業です。そして状況は悪化するばかりです。コード生成は[…]
続きを読むこの記事は、Viktor Kartashov氏とDaniel Nebenzahl氏と共同執筆しました。監査人のリトマス試験:ビルドを証明できますか?「出荷するすべてのコンテナイメージが、あなたが主張する通りに構築されたことを、明確に証明できますか?」多くの監査人は、何週間もかけて慌ただしくYAMLをリファクタリングするのではなく、迅速かつ確信に満ちた回答を期待しています。SLSA(サプライチェーンレベル)は[…]
続きを読むViktor Kartashovとの共著。NIST SP 800–190規格は、コンテナ化されたアプリケーションのセキュリティを確保するための構造化されたガイドラインを提供し、イメージの出所からランタイム制御まで、あらゆる側面を網羅しています。急速に変化するDevOps環境でコンテナの利用が急増するにつれ、これらの要件への準拠は不可欠であると同時に、課題も増えています。しかし、ここでのSP 800–190は単なるユースケースに過ぎません。より大きな考え方は、[…]
続きを読むin-totoとは何か、そしてどのようにソフトウェアサプライチェーンを保護するのか?近年見られる3CX、Codecov、Solarwindsといったソフトウェアサプライチェーン攻撃は、従来の開発パイプラインの脆弱性を浮き彫りにしました。これを受けて、オープンソースコミュニティは、ソフトウェアデリバリーのあらゆる段階で整合性を確保するためのフレームワークであるin-totoを開発しました。in-toto […]
続きを読む今日のソフトウェア開発環境では、開発者のプロファイルの多様性は強みであると同時に弱点でもあります。添付の分類法は、善意ではあるものの不完全な「優良開発者」から、AI 生成コードを使用する「市民開発者」、さらには「悪意のある開発者」まで多岐にわたり、経験、意図、行動のさまざまなレベルが、ソフトウェア開発ライフサイクル (SDLC) に重大なリスクをもたらす可能性があることを浮き彫りにしています。Scribe Security は […]
続きを読むScribe Security では、サイバーセキュリティの将来はソフトウェア サプライ チェーンを内側から保護することにかかっていると考えています。そのため、私たちは National Cybersecurity Center of Excellence (NCCoE) のソフトウェア サプライ チェーンと DevOps セキュリティ プラクティス プロジェクトに協力できることを誇りに思っています。このイニシアチブでは、公共部門と民間部門の技術貢献者が集まり、どのように […]
続きを読むほとんどのソフトウェア組織は、コード管理、ビルド、レジストリ、配信、および展開に複数のプラットフォームを使用しています。SDLC とソフトウェア サプライ チェーンのセキュリティを管理するには、GitHub のネイティブ機能を超える統合プラットフォームが必要です。効果的なリスク管理には、コードからクラウドまでの明確なトレーサビリティとガバナンスが必要です。つまり、すべてのコンテナ イメージとリリースされた成果物が […] にリンクされていることを確認する必要があります。
続きを読む連邦政府のソフトウェア セキュリティの状況は、大きな変化を遂げています。2025 年 XNUMX 月、ホワイト ハウスは、連邦政府機関が使用するサードパーティ ソフトウェア サプライ チェーンのセキュリティと透明性を強化することに重点を置いた新しい大統領令を発行しました。この命令は、特に次のことを考慮すると、ソフトウェア プロバイダーが理解し、準備する必要がある重要な変更を導入します。[…]
続きを読む急速に進化する今日のソフトウェア開発環境では、セキュリティとコンプライアンスが最重要事項となっています。組織がサードパーティのコンポーネントやオープンソース ソフトウェアにますます依存するようになるにつれ、ソフトウェアの内部構造を理解することがこれまで以上に重要になっています。そこで登場するのがソフトウェア部品表 (SBOM) です。これは、ソフトウェアを構成するすべてのコンポーネント、ライブラリ、依存関係の詳細なリストです。SBOM を統合すると […]
続きを読む