NIST SP 800-218 は、米国政府にソフトウェアおよびソフトウェア サービスを提供するすべての組織にとって、重大な転機となります。これらのガイドラインに基づき、サプライヤーはセキュリティの脆弱性と悪意のある介入を軽減することを目的として、ソフトウェア開発ライフサイクル (SDLC) 全体を通じて安全なソフトウェア開発慣行を実装することが求められます。
セクション4 米国大統領命令14028, 国家のサイバーセキュリティの改善 ソフトウェアサプライチェーンを保護するための標準、ツール、実践方法を特定し、公的部門と民間部門の両方からの意見に基づいてそのためのガイドラインを確立することを米国国立標準技術研究所 (NIST) に課しています。
NIST のセキュア ソフトウェア開発フレームワーク (SSDF) は、ソフトウェア開発ライフサイクルにおける悪意のある介入と脆弱性への露出のリスクを軽減するために、透明性と耐改ざん対策を促進します。私たちの見解では、主に次のとおりです。
- アーティファクトとデータの整合性の検証
- ソフトウェア成果物のデジタル署名
- ソフトウェアのライフサイクル中のすべての重要な変更の証拠を収集する
- 出所の検証 ソフトウェア成果物のすべてのコンポーネントの
セキュリティ専門家は、ビルドを通じてソース管理からすべてのファイルを追跡し、ファイルのハッシュ値を比較して意図しない変更がないことを確認し、新しいファイルとツールチェーン内のツールの整合性を追跡することはすべて、悪意のあるファイルのリスクを軽減するのに役立つと考えています。ソフトウェア製品への介入。これらのツールは、プロセスの各ステップで証拠を収集し、その証拠に署名することと連携して機能し、不変の証明書を作成します。
これらのガイドラインの本質は、特定のソフトウェアの開発ライフサイクルにおける脅威の軽減策を決定する、リスクベースのアプローチの採用です。独自のリスク評価に従ってセキュリティ ガイドラインを定義し、そのルールを継続的に適用します。 を プロセスの一部。
これらの規制変更への準拠を促進するために、セキュリティ体制を改善するための措置を講じるのに早すぎるということはありません。また、NISTの導入に向けた事前準備も行っています。 SP800-218 を使用すると、実行する必要があるアクションと、それが従業員やプロセスに与える影響をより徹底的かつ快適に特定できるようになります。
これらの対策により、新しい規制への準拠が容易になるだけでなく、製品のセキュリティ体制が大幅に改善され、現在および将来の企業のビジネス上の評判も向上します。
変化する規制と、当社がどのような具体的なセキュリティ対策を講じているかについて詳しく知るには まずは始めてみることをお勧めします。全文をチェックしてください SSDF に関するホワイトペーパー.
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 もっと詳しく知る。
関連記事
