フォームの要件を満たすために必要なものが揃っていることを確認してください
ソフトウェア サプライ チェーンのセキュリティのベスト プラクティスの導入は、現在、2006 年の PCI コンプライアンス要件の公表と同様の転換期にあります。その時と同じように、新しい規制では、この場合、企業のリーダーによる重要な要件が追加されています。ソフトウェアのセキュリティとそれを達成するために使用される正確な手段。
提案されている安全なソフトウェア開発認証フォームは、まだ最終草案段階ではありますが、OMB の M-23-16 メモおよびそれ以前の M-22-18 メモの要求に基づいて DHS – CISA によって提出されており、重要な義務を負っています。それに伴う負債。これには会社のリーダーの署名が必要で、フォームの要件に準拠していることを保証します。ソフトウェア サプライ チェーン攻撃が発生した場合に、その人物が適切な証拠で署名を裏付けることができることが期待されています。
このフォームの 4 つの条項は広範囲の要件をカバーしていますが、遵守方法に関するガイダンスは提供されていません。業界では多種多様な技術スタック、クラウド環境、CI/CD ツール、構成が存在するため、フォームに必要なさまざまな証拠をすべて収集するのは困難です。
さらに、検証のタイミングの問題もあります。企業が継続的に証拠を収集しない限り、署名されたベストプラクティスに従っていることを証明するためにできることはほとんどありません。
信頼できる方法で証拠を自動的かつ継続的に収集し、企業が定義して署名した SDLC ポリシーを継続的に検証することは、フォームの要件が遵守されていることを証明する正しい方法です。
このホワイトペーパーを入手してください ソフトウェアの信頼性を築くための証拠として、Scribe がどのように自動的に証拠を収集して署名するのに役立つかを調べてください。
ログ ファイル、スクリーンショット、構成ファイルなど、必要な証拠の一部となるべきものについてアドバイスします。私たちは、サードパーティのツールから証拠を収集し、それを SDLC の残りの証拠に含めてパイプラインを構築する方法を知っています。私たちは、この証拠を取り出して、反駁不能で不変の証明書に変換し、安全なストアに保存するお手伝いをします。
このような証拠は、SLSA または SSDF 準拠の有効な証明書として機能します。各企業は、署名検証モデルに基づいて独自のポリシーをカスタマイズできます。
Scribe プラットフォームには、簡単にクエリできるセグメント形式で収集されたすべての証拠が含まれています。すべてのビルドと製品の集約された SBOM ビュー、完全な古いコンポーネント レポート、包括的な脆弱性レポート ( CVSSスコア と EPSS確率)、およびそれに基づく図書館評判レポート OpenSSF スコアカード プロジェクト。
