アウトソーシングされたソフトウェア開発 - セキュリティ検証

ソフトウェア サプライ チェーンのエンドツーエンドのセキュリティを実現する上で非常に重要な要素は、外部委託された下請け業者によってもたらされるサイバー リスクを軽減する能力です。さらに、継続的かつ安全な下請け業者によるソフトウェア配信プロセスを可能にすることが重要です。

アウトソーシングされた下請け業者はソフトウェアを開発し、ソフトウェア成果物をエクスポートし、次の目的でソフトウェア成果物が組織のリスク管理ゲートを通過します。

  • デジタル資産の改ざんを防止する
  • 信頼できる開発者のみにアクセスを許可する
  • 評判の良いオープンソースのみを使用

Scribe のプラットフォームは組織の受け入れゲートとして機能します

Scribe は、組織のリスク管理ゲートとして次の役割を果たします。

  • 下請け業者から証拠を継続的に収集し、署名する
  • 開発者の認証と認可
  • 証拠の完全性を検証する
  • 受け入れポリシーを適用する

SaaS アーキテクチャを使用している組織の場合、Scribe が受け入れゲートとして使用され、ポリシーを制御します。

モジュール型の証拠はユースケースに基づいて収集されます。
SDLC への統合ポイントはオプションです。

証拠は暗号で署名されます。

Scribe は署名を検証し、証拠を分析し、受け入れポリシーを適用します。

オンプレミス アーキテクチャを使用している組織の場合、Scribe がローカル エージェントとして使用され、下請け業者のバージョン証拠を Acceptance Gate としてエクスポートします。

モジュール型の証拠は、ユースケースに基づいて収集、署名され、ローカルに保存されます。

Scribe は、ソフトウェア アーティファクトの配信とともに証拠をエクスポートします。

Scribe は現地エージェントとして機能し、下請け業者のバージョン証拠を Acceptance Gate としてエクスポートします。