お問い合わせ

セキュアソフトウェア開発フレームワーク(SSDF)の使用開始(上)

home

セキュアソフトウェア開発フレームワーク(SSDF)の使用開始(上)

  現代社会、技術は急速な発展を続け、ビジネスや企業の在り方を含め、ソフトウェアの使用は私たちの生活を大きく変化させてきました。そのため、開発中のソフトウェアのセキュリティ確保は極めて重要なことです。しかし、多くのソフトウェア開発ライフサイクル(SDLC)モデルは、ソフトウェアセキュリティに特に重点を置いていないです。堅牢なセキュリティ対策を確実にするため、既存の SDLC プロセスに加えて、安全なソフトウェア開発プラクティスやソフトウェアセキュリティフレームワークを追加する必要があります。 米国標準技術局(NIST)により、 SDLC モデルにも統合し、高レベルの実践の中核となる一連の概要を示しました。SSDFに概説されているプラクティスに従うことで、組織は以下のことが可能になります。 リリースされたソフトウェアの脆弱性を減らすこと。 脆弱性が悪用された場合の影響を最小化すること。 将来再発を防止するために、悪用の根本原因を排除すること。 さらに、SSDF は、ソフトウェアのサプライチェーンに関連するリスクを管理し、セキュアなソフトウェア開発の原則により合致させるためのガイダンスを提供しています。このブログポストでは、SSDFの定義や使用対象などを説明します。 SSDFとは? SSDF は、組織が安全なソフトウェアシステムを開発し、維持するのを支援するために NIST が作成したガイドです。NIST は、SSDF を簡潔に「安全なソフトウェア開発のための基本的で健全なプラクティスのセット」と説明ししても良いです。 SSDFは、既存のソフトウェア開発手法にセキュリティ対策を組み込むための構造化されたアプローチを確立し、それによって脆弱性を減らし、全体的なソフトウェアの品質と信頼性を向上させます。NIST は、確立された業界標準と既存のセキュアソフトウェア開発文書に基づいて…
Social Media Marketing

サプライチェーン・セキュリティの内と外

現代のソフトウェア開発では、開発者は既存のサードパーティ・ライブラリやオープンソースの依存関係を再利用することで、迅速に開発を進めることができました。しかし、このようなコンポーネントの “サプライチェーン “はスピードを向上させる同時に、ハッカーの攻撃のベクトルにもなっている恐れもあります。組織のSLDCを保護し続けるためには、ソフトウェアのサプライチェーンを保護することが不可欠です。 ソフトウェア・サプライ・チェーンを保護する内部と外部 ここでは、組織のソフトウェア・サプライ・チェーンを保護するための2つの側面を、内部と外部で確認していきましょう。 Aqua Security の最近のレポートでは、多くの組織が SDLC の秘密に関する管理が不十分であることがわかりました。数多くのコンテナレジストリと成果物リポジトリが、意図せずに公開されたままになっています。 いくつかのケースでは、リポジトリは意図的に公開されましたが、公開を意図していない秘密が含まれていました。多くの場合、これらの秘密は認証情報、API アドレス、証明書であり、組織の奥深くへのさらなる攻撃を可能にする可能性があります。 Sonatype の多くのお客様は、Sonatype Nexus Repository の利点を活用し、顧客やパートナー、より広範な開発コミュニティにコンポーネントを配布しています。 しかし、適切なアクセス制御を確保することは極めて重要です。 最良の結果を得るためには、以下の3つのステップに従ってください: 匿名アクセスを使用する場合、それがユースケースに適合していることを確認する。組織内(または組織外)の認証されていないユーザがリポジトリにアクセスする必要があるを確認すること。(そうでなければ、完全に無効にすることが…

DevSamuraiは Sonatypeと共に「DevOpsDays Tokyo 2021」 に出展

DevSamuraiは 「DevOpsDays Tokyo 2021」 にスポンサーとして出展いたします。 是非、弊社ブースへお立ち寄りください! 会期:2021年4月15日(木) – 16日(金) 会場:大崎ブライトコアホール 〒141-0001 東京都品川区北品川5丁目5-15 大崎ブライトコア3F DevOpsDaysは世界中で開催されているカンファレンスです。ソフトウェア開発、ITインフラ運用、そしてその 境界線上にあるトピックをカバーし、特にDevOpsを実現するための自動化、テスト、セキュリティ、組織文化 にフォーカスします。 IT技術を駆使して変化に強いビジネスインフラを実現するスキルを身に着けるために、国内外の最先端の事例とプラクティスを結集します。海外から第一人者を直接招き、ここでしか手に入らない最新情報をリアルタイムで入手出来ます。 最先端のテクノロジの活用法はもちろん、先進企業で必要とされてきた背景までも理解し、正しく組織内に展開するための洗練された知見を得られます。 このイベントが日本のみならず、世界のDevOpsプラクティスを共有できる、意義のあるイベントになれるよう、願っております。 https://www.devopsdaystokyo.org/

DevSamuraiは 「Atlassian Team Tour Tokyo 2020」 にスポンサーとして出展

DevSamuraiは 「Atlassian Team Tour Tokyo 2020」 にスポンサーとして出展いたします。 是非、弊社ブースへお立ち寄りください! 会期:2020年2月6日(木) 13:30 – 19:00 会場:渋谷ストリームホール 〒150-0002 東京都渋谷区渋谷3丁目21-3 Atlassian Team Tour は、アトラシアンが年に一度グローバルに展開している「チーム」をテーマとしたイベントです。本年は東京開催を皮切りに12都市に規模を拡大し、Team Tour…
Menu
This website stores cookies on your computer. These cookies are used to collect information about how you interact with our website and allow us to remember you. We use this information in order to improve and customize your browsing experience and for analytics and metrics about our visitors both on this website and other media. To find out more about the cookies we use, see our Privacy Policy.
If you decline, your information won’t be tracked when you visit this website. A single cookie will be used in your browser to remember your preference not to be tracked.
Ok