SSDF および SLSA フレームワークへの継続的な準拠を実証する

近年、注目を集めているソフトウェア サプライ チェーン攻撃が組織に重大な損害を与えています。これらの攻撃は、ソフトウェア サプライ チェーン関連のリスクに対処するためのより良いセキュリティ対策の必要性を浮き彫りにしました。その結果、米国政府は新しいサイバー規制と基準を推進しました。これが SLSA と SSDF の誕生です。

これらのフレームワークは、脆弱性管理、コードの整合性、来歴検証、インシデント対応、安全な SDLC プロセスの実施など、幅広い分野をカバーしています。ただし、これらを実装することは、特にリソースが限られている組織にとっては困難な作業になる可能性があります。

Scribe のプラットフォームは、ソフトウェア制作者にとって安全な場所として機能します。リソースが限られている場合でも、SLSA および SSDF フレームワークへの容易な準拠が可能になります。

Scribe により、顧客は次の事項に準拠できるようになります。 SSDF フレームワーク ソフトウェアが改ざんされていないことを保証する証拠に基づいたハブを通じて透明性を促進することで、SLSA を実現します。

ソリューションの概要を入手
NIST SP 800-218 (SSDF) に準拠

NIST SP 800-218 (SSDF) に準拠

SSDF は、SDLC 全体で発生する脆弱性の量と影響を軽減することを目的としています。米国で事業を行っている、または事業を計画しているベンダーは、迅速に対応し、SSDF に準拠する方法を学ぶ必要があります。

SSDF は従うべきチェックリストではなく、安全なソフトウェア開発のためのリスクベースのアプローチを計画および実装するためのロードマップです。これには、透明性の促進と、権限のないユーザーによる改ざんからソフトウェアを保護するための証拠に基づいた戦略の使用が含まれます。

Scribe ユーザーは、証明書に対してポリシーを適用して、安全な開発およびビルド プロセスを確保したり、改ざんが行われていないことを検証したりできるだけでなく、米国の新しいサイバー規制の基礎である SSDF への準拠を評価することもできます。

完全な SSDF ガイドを入手する

Scribe は、SSDF 内の PS (ソフトウェアの保護) プラクティス グループに焦点を当てた最初のソリューションです。

Scribe は、よく知られている CIS ソフトウェア サプライ チェーン セキュリティ ベンチマークに基づいて、SLSA のいくつかの要素を組み合わせたルールベースの評価を実施して、ソース コードの保護レベルを決定します。

ユースケースを読む
SLSAフレームワークに準拠する

SLSAフレームワークに準拠する

SLSA ソフトウェアの完全性を保証するセキュリティ管理と標準の包括的なチェックリストです。開発者、組織、企業が安全なソフトウェアを構築して使用する方法について情報に基づいた選択をできるよう支援するだけでなく、ソフトウェア開発ライフサイクル全体を保護するための 4 つの段階的な一連のステップを提案しています。

Scribe を使用すると、ユーザーは SLSA によるコンプライアンス検証を自動化できます。それに加えて、Scribe は、遵守していない特定の領域について、ギャップを埋めるための一連の実用的な推奨事項を提供します。これにより、2024 年までに米国主導の新しい規制に準拠する必要があるソフトウェア制作者にとって大きな問題が解決されます。

ユースケースを読む

SW ビルドが SLSA レベル 2 またはレベル 3 の要件に準拠していることを簡単に検証

Scribe を使用すると、各ビルドのパイプラインの一部として SLSA 来歴を作成し、どの SLSA 要件が合格または不合格となったかを正確に確認し、問題があればすぐに対処してビルドを準拠させることができます。

その後、収集した証拠を関係者と簡単に共有し、ビルドや製品のコンプライアンスを自信を持って実証できます。

他のツールに対する Scribe の利点

出所文書を作成するだけでなく、ポリシー全体を評価します

プロデューサーは、パイプラインに関する関連する SLSA 情報を一連のポリシーの形式で収集できます。

プロデューサーは、パイプラインでこれらのポリシーを適用することを選択し、ポリシーが成功したか失敗したかを確認できます。

すべてのポリシーが合格したということは、SLSA レベル 3 に準拠していることを意味します。

デモを見る

SSDF および SLSA フレームワークは、脆弱性管理、コードの整合性、来歴検証、安全な SDLC プロセスの施行など、幅広い分野をカバーしています。ただし、これらを実装することは、特にリソースが限られている組織にとっては困難な作業になる可能性があります。さらに、新しい連邦規制や顧客の要件に応じて、明確な方法でコンプライアンスを証明する必要性は決して簡単ではありません。

Scribe を使用すると、次のことができます。

SBOM の生成、管理、共有

Scribe を使用すると、商用ソフトウェア ベンダーやインテグレータは脆弱性を追跡し、SBOM を生成、管理し、ソフトウェア サプライ チェーンの下流の消費者やその他の関係者と共有できます。

SBOM アクセスの管理

Scribe では、SBOM へのアクセスを許可する契約上の義務を認めています。また、VEX (CISA 標準) を通じて脆弱性リスクを伝えます。

保護レベルの決定

CIS ソフトウェア サプライ チェーン セキュリティのベンチマークと SLSA のいくつかの要素に基づいて、Scribe はルールベースの評価を実施して、ビルド パイプラインの保護レベルを決定します。

知り続ける

アイコンバーストの記事画像 サイバーリスク
IconBust、新しい NPM 攻撃
続きを読む
SSDF 最終バージョン サイバーリスク
SSDF (NIST 800-218) 最終バージョン – ドラフトとの相違点とその影響
続きを読む
継続的保証とソフトウェア サプライ チェーンのセキュリティ |スクライブセキュリティ サイバーリスク
継続的保証: ソフトウェア サプライ チェーン セキュリティの不可欠な実践
続きを読む