ソフトウェア?サプライチェーンのセキュリティ対策で考えるべき5つのこと
ソフトウェア?サプライチェーンには、アプリケーションに関わるものすべて、つまりアプリケーションのアセンブル、開発、デプロイに何らかの役割を果たすものすべてが含まれます。その意味では自前のコードやコンポーネント、ソフトウェアで使用する API とクラウド?サービス、さらに、それらのソフトウェアをビルドしてエンド?ユーザーへデリバリする際に使用するインフラもサプライチェーンに含まれます。
最终製品とそのユーザーは、プロセスに関与するすべての部品、人间、活动、材料、手顺の影响を受けます。このワークフローの一部にでも弱点があれば、そこからリスクが混入します。このリスクを軽减するには、サプライチェーン全体を完全に理解する以外にありません。ソフトウェア?サプライチェーンの场合もまったく同じです。
サプライチェーンのセキュリティ対策では、アプリケーションをアップストリーム?リスク(ソフトウェアのディストリビューションにおける上流でのリスク)から守ること、そして自らがダウンストリーム?リスクを(ソフトウェアのディストリビューションにおける下流でのリスク)生み出さないようにすることを考える必要があります。
ソフトウェア?サプライチェーンの安全性を确保するための主な検讨事项は以下のとおりです。
- セキュアなオープンソースを使用していますか?
- ソフトウェア部品表(厂叠翱惭)の提出を求められていますか?
- 自社开発のコードはセキュアですか?
- 开発およびデリバリーに使用しているインフラはセキュアですか?
- 法规制の适用を受ける业种でソフトウェアを开発または利用していますか?
