22 月 1.1 日、NIST は SSDF XNUMX (安全なソフトウェア開発フレームワーク) の最終バージョンをリリースしました。
このフレームワークは当初、2021 年 XNUMX 月にドラフト版として公開されました。すべての高レベルのプラクティスとタスクは同じですが、提供されるさまざまな例を中心に多くの違いがあります。
NIST SP 800-218 フレームワークとは何ですか? SSDF は、安全なソフトウェア開発のための長年にわたるベスト プラクティスの推奨事項を統合します。カスタマイズ可能なセクターにとらわれないアプローチは、部門 (および生産者/買収者) を越えたコミュニケーションを促進するように構築されており、戦略的目標を定義し、現在のギャップを評価するのに役立ちます。
NIST は、どの手法を導入するかを決定する際に、リスクとコスト、実現可能性、および適用可能性のバランスを取ることを推奨しています。自動化は、ソフトウェアのセキュリティを促進するチェックとプロセスをできるだけ自動化するという望ましい目標を達成するために考慮すべき重要な機能です。
最終バージョンとドラフトバージョンの違い:
完全性の検証 – 脆弱性について議論するときは、整合性の検証に重点が置かれます。 コードと外部ソースから取得したライブラリ/製品の両方を確認するとき。
不変の証明書 – 特にソフトウェア サプライ チェーンの複雑さを考慮すると、プラクティスを実装する責任がさまざまな組織に分散される可能性があります。チェーンの上流または下流に行くほど、視認性は大幅に低下します。そのため、NIST は、プラットフォーム/サービスのプロバイダーと消費者の両方が関与する共同責任を契約または協定に成文化することを推奨しています。どの当事者がそれぞれの慣行やタスクに責任を負うのか、各プロバイダーが契約への準拠をどのように証明するのかを明確にする必要があります。 「信頼するが検証する」という原則がここでも当てはまります – 不変の証明 ソフトウェアの製造者とソフトウェアの取得者の間で簡単に共有できる情報は、ソフトウェアのサプライ チェーンに対するすべての利害関係者の信頼を高める鍵となります。
オープンソース コミュニティへの参加 – NIST は、将来の研究は特定の使用例の形をとる可能性が高く、NIST と協力するつもりであると述べています。 オープンソースコミュニティ。 現在使用されているほとんどの商用コード製品には重要なオープンソース コード要素が含まれていることを考慮すると、ソフトウェア ライフサイクル セキュリティの計画と実装にオープンソース コミュニティを参加させるのは自然なことです。
KRI (主要リスク指標) としての脆弱性重大度スコア – 有効になっているもう 1 つの変更は、重要な指標としての重症度スコアです。多くのサイバー セキュリティ担当者がアラート疲れに悩まされていることを考えると、各組織が自社に適した脆弱性スコア スケールと、それぞれのスコアにふさわしい具体的な治療法を定義することは理にかなっています。
人間によるアクセスが減り、自動化が進む – NIST は、ビルド サービスなどのツールチェーン システムへの人による直接アクセスを最小限に抑えることを推奨しています。アクセスできる人が増えれば増えるほど、より多くの間違いが起こる可能性があります。これもまた、さらなる自動化の推奨と同じ流れに当てはまります。
整合性のある SBOM – SBOM (ソフトウェア部品表) について議論する際、NIST は、成果物の完全性に対して強力な保護を採用するとともに、受信者がその完全性を検証する方法を提供することを推奨しています。受信者は組織内外の人々である可能性があるため、安全な SBOM を共有するためにサードパーティ システムを採用することは理にかなっています。
バイナリ コードとソース コードの整合性 – 取得したバイナリの整合性や出所が確認できない場合は、ソース コードからバイナリを新たにビルドすることをお勧めします。これは、ソース コードの整合性と出所を検証できることが前提です。デジタル署名や SBOM などのその他のメカニズムを通じて、検証可能な整合性の証明を提供するのは、ソフトウェア サプライ チェーン内のすべてのリンクの責任です。
まとめ
全体として、NIST は次のように考えています。「SSDF の実践、タスク、実装例は検討の出発点となる。これらは変更およびカスタマイズされ、時間の経過とともに進化することを目的としています。」
SSDF は従うべきチェックリストではなく、安全なソフトウェア開発のためのリスクベースのアプローチを計画および実装するためのガイダンスを提供します。
米国の法律に基づく規制とは異なり、SSDF はビジネスベースとなる予定です。政府は購買力を活用して、市場にこの新しいベストプラクティスの枠組みを遵守してもらいます。枠組みの遵守を示せなければ、政府との契約は考慮されません。政府との契約の申請を検討している組織が、すべてのベンダーやサプライヤーにも遵守を要求するなど、ソフトウェアのサプライチェーン全体にわたってトリクルダウン効果が見られる可能性があります。
新しい規制と SSDF について詳しくは、次のウェビナーをご覧ください。 「2022 年の新しいサイバーセキュリティ規制を読み解く」。
このコンテンツは、エンドツーエンドのソフトウェア サプライ チェーン セキュリティ ソリューションの大手プロバイダーである Scribe Security によって提供されており、ソフトウェア サプライ チェーン全体のコード成果物とコード開発および配信プロセスに最先端のセキュリティを提供しています。 詳しくはこちら。