ブログ

CI/CD パイプライン内で何が起こっているかの詳細は、悪名高いほど不透明です。命令のパイプライン リストである YAML 構成ファイルを作成したにもかかわらず、すべてが記述どおりに正確に行われることをどうやって確認できるのでしょうか?さらに悪いことに、パイプラインの大部分は完全に一時的なものであるため、故障が発生した場合でも、[…]

セキュア ソフトウェア開発フレームワーク (SSDF)、別名 NIST SP800-218 は、大統領令 14028 に応じて NIST によって開発された一連のガイドラインであり、特にソフトウェア サプライ チェーン セキュリティに関する米国のサイバーセキュリティ体制の強化に焦点を当てています。 SSDF はベスト プラクティスのフレームワークであり、標準ではありません。特に次のような組織に関連しますが、[…]

背景 SLSA (Supply-chain Levels for Software Artifacts) は、改ざんの防止、整合性の向上、パッケージとインフラストラクチャの保護を目的としたセキュリティ フレームワークです。 SLSA の中核となる概念は、ソフトウェア アーティファクトは、次の 3 つの要件を満たしている場合にのみ信頼できるというものです。 アーティファクトには、その起源と構築プロセスを説明する来歴文書が必要です […]

ソフトウェア ベンダーは、消費者、企業、または重要なインフラストラクチャ プロバイダー (ホワイト ハウス) に対して負う注意義務を果たさない場合、責任を負わなければなりません。今日、ソフトウェア プロバイダーは、契約上の合意、ソフトウェアのリリースとアップデート、通知などを通じてソフトウェアの完全性とセキュリティを確保することに対して、より大きな責任を負うことが期待されています。

TL;DR 近年、テクノロジー業界はソフトウェア開発における「シフトレフト」の概念を熱心に支持し、セキュリティ慣行を開発ライフサイクルに早期に統合することを提唱しています。この動きは、プロジェクトの開始時からコードのセキュリティを確保する責任を開発者に与えることを目的としています。ただし、このアプローチの背後にある意図は次のとおりです […]

業界はまだ SBOM の概念を完全には理解していませんが、すでに ML-BOM (機械学習部品表) という新しい用語を耳にし始めています。パニックが始まる前に、なぜこのような BOM を作成する必要があるのか​​、ML-BOM を生成する際の課題、およびそのような ML-BOM がどのようなものかを理解しましょう。 […]

ソフトウェア サプライ チェーンのリスクの 1 つは機密漏洩です。秘密はソフトウェア サプライ チェーンのいたるところにあります。開発者と CI/CD パイプラインは、SCM、パイプライン、アーティファクト レジストリ、クラウド環境、および外部サービスにアクセスするためにシークレットを使用する必要があります。そして、秘密があちこちにある場合、それは時間の問題です […]

2.0 月初旬、米国国立標準技術研究所 (NIST) は、2014 年に初めて公開された画期的なサイバーセキュリティ フレームワークのドラフト 10 バージョンをリリースしました。過去 XNUMX 年間で多くの変化があり、その中で特に重要なのは、サイバーセキュリティ フレームワークのレベルの上昇です。元の文書では重大な問題を解決するために記載されていたサイバーセキュリティの脅威 […]

最近、SBOM についてよく耳にします。その有用性、構成、セキュリティと規制の要件について聞きました。今回は、CyclonDX SBOM のあまり知られていない部分であるディペンデンシー グラフについてお話したいと思います。名前が示すのとは異なり、ディペンデンシー グラフは […]

ここ数年、SBOM (ソフトウェア部品表) について多くの言葉が書かれてきました。これだけの露出があると、人々は説明するのに十分な内容を知っていると感じます。これはソフトウェアの構成要素のリストであり、透明性とセキュリティにとって重要であり、一時的な依存関係を明らかにするのに役立ちます。全て […]