組織は、ソフトウェアを構築する際にソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) フレームワークを実装して、ソフトウェアのセキュリティと整合性を向上させる必要がある、と Google は主張しています。テクノロジーの巨人がソフトウェア サプライ チェーンを保護するためのベスト プラクティスを深く掘り下げた後です。
9 月 4 日のレポートで、Google はサプライ チェーンのセキュリティを強化するためのいくつかの推奨事項を提示しました。これには、組織がオープン ソース ソフトウェアに対してより直接的な責任を負う必要性や、 LogXNUMXJ の脆弱性と SolarWinds の侵害。
ソフトウェア セキュリティに関する Google のレポートは、新しい「セキュリティに関する展望」は、新たなセキュリティの傾向とその対処方法を調査する調査シリーズです。 レポートのリリースは、SolarWinds の違反開示から XNUMX 周年を迎えたものであり、その推奨事項は、Google によるそのインシデントの分析と、それ以降の他の多数のソフトウェア サプライ チェーン違反に基づいています。 それらには、でのインシデントが含まれます コードコフ, カセヤ および次のような公開コード リポジトリを含むもの PyPI.
侵害により、ソフトウェア サプライ チェーンのセキュリティは エンタープライズ IT アジェンダの最重要項目. Mandiant からの最近のレポートは、サプライ チェーンの侵害を次のように特定しました。 すべての侵入の 17% に寄与 2021 年には、わずか 1 年前の 2021% 未満から上昇しています。 実際、サプライ チェーンの問題は、XNUMX 年にソフトウェアの脆弱性エクスプロイトに次いで XNUMX 番目に多かった最初の侵入経路でした。
セキュリティの意思決定者にとって重要な XNUMX つのポイント
Google のエンジニアリング担当バイス プレジデントである Royal Hansen は、次のように述べています。
XNUMX つ目は、前述のように、セキュリティ リーダーは、ソフトウェア サプライ チェーン攻撃に対する防御を強化するために、より全体的なアプローチを採用することに集中する必要があるということです。 ソフトウェア アーティファクトのサプライチェーン レベル (SLSA) フレームワーク セキュリティ コミュニティがソフトウェア サプライ チェーン エコシステム全体で脅威を軽減できるようにするためです」と彼は言います。
SLSA (「サルサ」と発音) は、ソフトウェア開発者に、本番までのソフトウェア開発ライフサイクル全体でソフトウェアのセキュリティと整合性を確保するための一連の管理と実践を提供します。 その主な目標の XNUMX つは、敵対者が悪意のあるコードを PC に挿入した SolarWinds で発生したような改ざんを防止および検出する方法を組織に提供することです。 - 署名されたソフトウェア更新を介して配布しました。
SLSA は規範的なチェックリストです。つまり、組織が実行する必要がある手順を詳しく説明しています。 これには、たとえば、ソフトウェア内のすべてのオープン ソースおよびサードパーティ コンポーネントの出所を検証し、ソフトウェアが改ざんされていないことを確認することが含まれます。
とりわけ、組織がソース コードを無期限に保持し、改ざん防止の来歴情報を使用してソフトウェアの整合性を検証できる必要があります。
Google は、SLSA フレームワークを、組織が ソフトウェア部品表 (SBOM)つまり、特定のソフトウェアに含まれるすべてのコンポーネントのリストです。
より多くの責任を引き受ける
業界レベルでサプライ チェーンのセキュリティを強化するためのもう XNUMX つの鍵は、組織が独自のオープン ソースおよびプロプライエタリ ソフトウェアのサプライ チェーンを保護することである、と Google は述べています。
これは、他のソースから構築または取得したすべてのソフトウェアが、ベースラインのセキュリティ基準と制御を実装していることを確認することを意味します。 例として、Google は、Okta、Salesforce、Slack、Venafi などの他の企業と協力して開発したエンタープライズ対応ソフトウェアの Minimum Viable Secure Product (MVSP) 要件を指摘しました。
MVSP は、 ベースライン セキュリティ コントロールのチェックリスト 合理的に安全な製品を確保するために、ソフトウェア開発者は少なくとも実装する必要があります。 チェックリストには、ソフトウェア ベンダーまたは発行者が脆弱性レポートを公開しているかどうか、自己評価と外部テストを実施しているかどうか、SSO、HTTPS、およびセキュリティ ヘッダーなどのプラクティスを実装しているかどうかなどが含まれます。
ソフトウェアの購入者はベースラインを使用して、製品がこれらの要件を満たしているかどうかを評価できますが、大企業は、サードパーティのソフトウェア サプライヤーのセキュリティ体制をトリアージする際に、標準的なアンケートとして MVSP を組み込むことができます、と Google は述べています。 Google によると、調達チームはそれらを提案依頼書 (RFP) 文書に含め、ベンダー選択のセキュリティ ベースラインとして使用できます。
ハンセン氏によると、セキュリティのリーダーや実践者は、ソフトウェア サプライ チェーンのセキュリティを強化するために他の手段を講じることもできます。 「レポートの調査結果は、ソフトウェア サプライ チェーン ネットワークをより完全に理解し、潜在的なリスクを特定し、リスク軽減計画を実施し、ソフトウェア調達のためのセキュリティ要件を確立する必要があることを示唆しています」と彼は指摘します。
セキュリティ組織は、たとえば、オープン ソース セキュリティ財団 (OSSF) や、オープン ソース コードのセキュリティの脆弱性を見つけて修正するオープン ソース ソフトウェア プロジェクトのメンテナーに資金を提供することで、同様の役割を果たすことができる、と Hansen 氏は言います。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/application-security/google-use-slsa-framework-for-better-software-security