セキュアソフトウェア開発フレームワーク(SSDF)の使用開始(上)
現代社会、技術は急速な発展を続け、ビジネスや企業の在り方を含め、ソフトウェアの使用は私たちの生活を大きく変化させてきました。そのため、開発中のソフトウェアのセキュリティ確保は極めて重要なことです。しかし、多くのソフトウェア開発ライフサイクル(SDLC)モデルは、ソフトウェアセキュリティに特に重点を置いていないです。堅牢なセキュリティ対策を確実にするため、既存の SDLC プロセスに加えて、安全なソフトウェア開発プラクティスやソフトウェアセキュリティフレームワークを追加する必要があります。 米国標準技術局(NIST)により、 SDLC モデルにも統合し、高レベルの実践の中核となる一連の概要を示しました。SSDFに概説されているプラクティスに従うことで、組織は以下のことが可能になります。 リリースされたソフトウェアの脆弱性を減らすこと。 脆弱性が悪用された場合の影響を最小化すること。 将来再発を防止するために、悪用の根本原因を排除すること。 さらに、SSDF は、ソフトウェアのサプライチェーンに関連するリスクを管理し、セキュアなソフトウェア開発の原則により合致させるためのガイダンスを提供しています。このブログポストでは、SSDFの定義や使用対象などを説明します。 SSDFとは? SSDF は、組織が安全なソフトウェアシステムを開発し、維持するのを支援するために NIST が作成したガイドです。NIST は、SSDF を簡潔に「安全なソフトウェア開発のための基本的で健全なプラクティスのセット」と説明ししても良いです。 SSDFは、既存のソフトウェア開発手法にセキュリティ対策を組み込むための構造化されたアプローチを確立し、それによって脆弱性を減らし、全体的なソフトウェアの品質と信頼性を向上させます。NIST は、確立された業界標準と既存のセキュアソフトウェア開発文書に基づいて…
現代のソフトウェア開発では、開発者は既存のサードパーティ・ライブラリやオープンソースの依存関係を再利用することで、迅速に開発を進めることができました。しかし、このようなコンポーネントの “サプライチェーン “はスピードを向上させる同時に、ハッカーの攻撃のベクトルにもなっている恐れもあります。組織のSLDCを保護し続けるためには、ソフトウェアのサプライチェーンを保護することが不可欠です。 ソフトウェア・サプライ・チェーンを保護する内部と外部 ここでは、組織のソフトウェア・サプライ・チェーンを保護するための2つの側面を、内部と外部で確認していきましょう。 Aqua Security の最近のレポートでは、多くの組織が SDLC の秘密に関する管理が不十分であることがわかりました。数多くのコンテナレジストリと成果物リポジトリが、意図せずに公開されたままになっています。 いくつかのケースでは、リポジトリは意図的に公開されましたが、公開を意図していない秘密が含まれていました。多くの場合、これらの秘密は認証情報、API アドレス、証明書であり、組織の奥深くへのさらなる攻撃を可能にする可能性があります。 Sonatype の多くのお客様は、Sonatype Nexus Repository の利点を活用し、顧客やパートナー、より広範な開発コミュニティにコンポーネントを配布しています。 しかし、適切なアクセス制御を確保することは極めて重要です。 最良の結果を得るためには、以下の3つのステップに従ってください: 匿名アクセスを使用する場合、それがユースケースに適合していることを確認する。組織内(または組織外)の認証されていないユーザがリポジトリにアクセスする必要があるを確認すること。(そうでなければ、完全に無効にすることが…
現在、すべての企業は、ビジネスを強化し、顧客やパートナーとつながり、バックオフィスプロセスを自動化し、市場での存在感を拡大するためにソフトウェアに依存しています。従って、ビジネスに不可欠なソフトウェアのコーディングを任された開発者は、これまで以上に迅速に顧客に価値を提供するという大きなプレッシャーに直面しています。 アジャイル+DevOps のような方法論は製品デリバリーのスピードアップに貢献してきましたが、実際に組織に優位性をもたらすのは、基本部分、つまり定型機能についてはオープン ソースとサードパーティ ソフトウェアに依存しています。コードベースの78% がオープンソースです。サードパーティのソースが原因で、アプリケーションのコードの大部分が危険にさらされたままになります。アプリケーション セキュリティおよびアプリケーション開発のリーダーは、ソフトウェア構成分析ツールを利用し、オープン ソースおよびサードパーティ ライブラリのセキュリティとライセンス リスクを可視化します。 Forrester Wave™ の評価では、リーダー、強力なパフォーマー、競争者、および挑戦者が強調表示されます。 Forrester Wave™: ソフトウェア構成分析スコアカード、2023 年第 2 四半期 非常に上位にある、Sonatype…
OSS – その意味は? OSSライセンスとは… ソフトウェアの自由な使用、改変、共有を可能にすることです。 ソフトウェアを保護し、オープンソースを維持することを目的としています。 なぜ考慮しなければならないのか? 簡潔にお話ししましょう!ライセンスなしで運用していませんか?使用しているオープンソースソフトウェアやライセンスを見直さなかった場合、どのようなリスクがあるのでしょうか? もしかすると、あなた自身、あなたのコード、そしてあなたの組織を以下のような危険にさらすことになるかもしれません。 特許 トレードシークレット 競争優位性 パーミッシブライセンスとコピーレフトライセンス ライセンスには2つのカテゴリーがあります。 1. パーミッシブおよびリベラル(非常にシンプル) コードを好きなように扱える 自身の責任で使用できる 作者を引用する必要がある 2. …
重要なポイント ソフトウェア部品表(SBOM)は、アプリケーションで使用されるオープンソースおよびサードパーティのソフトウェアパッケージをすべてリストアップします。 これは、サードパーティ製ソフトウェアのセキュリティ、ライセンスコンプライアンス、およびその他のリスクを監視および評価するために使用することができます。 SBOMには複数の形式があり、最も一般的なのはCycloneDXとSPDXです。 SBOMはプログラムで生成し、ソフトウェアのビルドプロセスに組み込むことができます。 そもそもSBOMとは何か? 現代のソフトウェアは、より速く革新し、プロジェクトのユニークな側面に焦点を当てるために、オープンソースパッケージを使用して組み立てられています。ソフトウェア開発プロセスは、オープンソースコンポーネントが部品や原材料として機能し、新しい製品に組み立てられるという、従来の製造プロセスに酷似しているのです。 従来の製造業における部品表(BOM)は、最終製品を構成するすべての原材料、製造部品、数量のリストです。製造や流通のあらゆる段階で、欠陥や不良のある部品を素早く特定できるため、コンプライアンス、リスク管理、製品の安全性確保に有効です。 ソフトウェア部品表(SBOM)とは、アプリケーションに含まれるすべてのパッケージとライブラリのリストを指します。これは、デジタル版の製造業の部品表のようなものです。部品表がすべてのサブアセンブリを含むように、SBOMは推移的依存関係またはコンポーネントの依存関係も含みます。そして、従来の部品表と同様に、SBOMは、危険なパッケージがアプリケーションに含まれているかどうかを簡単に確認することができます。 ソフトウェア部品表は、プロジェクトの依存関係を管理し、オープンソースコンポーネントのリスクを管理するための最初のステップとなります。近年、オープンソースコンポーネントを標的としたサイバー攻撃が急増しており、ソフトウェアのサプライチェーンへの攻撃は2021年だけで300%も増加しています。SBOMは、依存関係を把握し、脆弱性、ライセンス問題、その他のリスクのあるコンポーネントを探すために使用することができます。ベンダーによっては、自社のセキュリティ管理のために、ソフトウェア購入時にSBOMを要求するところもあります。米国電気通信情報局は、ソフトウェア部品表に関するガイドラインを共同で発表し、将来的にベンダーにSBOMを要求するための土台を築きました。これらの規格は、その使用に関する情報を含むSBOMの最低要件を概説しています。最低要件は以下の通りです。 データフィールド – 必須のデータフィールドは、コンポーネントの識別のための一般的な情報を提供し、サプライヤ名、コンポーネント名、バージョン、依存関係、SBOMの作成者、およびデータがSBOMに追加された時間を含んでいます。 自動化サポート – SBOMは、自動的に生成し、解析するためのサポートを含まなければなりません。自動化をサポートする目的は、組織間の相互運用性です。ある組織からのSBOMは、新しいツールを採用する必要なしに、簡単に解析できるべきです。現在、SPDX、CycloneDX、ソフトウェア識別タグがこの自動化サポートに対応したフォーマットとして受け入れられています。 実践とプロセス – このセクションでは、ソフトウェア部品表を使用するための要件を概説し、頻度、深さ、アクセス、および既知の不明点の文書化に関するガイダンスを提供します。…
This website stores cookies on your computer. These cookies are used to collect information about how you interact with our website and allow us to remember you. We use this information in order to improve and customize your browsing experience and for analytics and metrics about our visitors both on this website and other media. To find out more about the cookies we use, see our Privacy Policy.
Ok 
