継続的な保証とソフトウェア サプライ チェーンのセキュリティ

これは、新しい NIST SP 800-218 ガイドラインを検証する一連の記事の XNUMX 番目であり、コンプライアンスを達成するためのベスト プラクティスに関する推奨事項が記載されています。

前回の記事で説明したように、米国国立標準技術研究所 (NIST) によって確立されたガイドラインは、ソフトウェア製品とサービスが米国政府に提供される方法を劇的に変えることになります。

具体的には、 NIST SP 800-218 すべてのソフトウェア開発ライフサイクル (SDLC) に統合される一連の高レベルで安全なソフトウェア開発実践を確立します。ソフトウェア サプライ チェーン全体にこれらの慣行を組み込むことで、米国政府だけでなく、最終的には業界全体、世界中に提供するためのより安全な製品とサービスが促進されることが期待されます。

この記事では、これらの要件を満たす際の継続的保証 (CA) の役割と、SDLC でのその実装について検討します。まず、継続的保証について、なぜ必要なのか、そしてどのように機能するのかを概観します。次に、証拠を収集するための例と推奨事項をいくつか示し、この証拠を製品のセキュリティを検証するためにどのように使用できるかを検討します。

記事をダウンロードして、CA を使用してセキュリティ体制とソフトウェア サプライ チェーン全体の信頼性を向上させる方法を確認してください。

すべてのリソース

最後のリソース

このポッドキャストのエピソード「ソフトウェア ファクトリーのセキュリティ保護: Scribe を使用した FedRAMP コンプライアンスの達成」では、組織が Scribe プラットフォームを活用して厳格な要件を満たす方法について説明します。
GigaOm の Howard Holton が、Scribe Security のプロダクト担当副社長 Doron Peri と Blackhat でソフトウェアのサプライ チェーンやその他の問題について話し合いました。
すごいですね。新しい NotebookLM AI ボットが、Scribe Security とは何か、何ができるかを 7 分弱で説明する素晴らしい最初のエピソードを生成しました。