技術共有

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

ソース：https://thehackernews.com/2024/06/practical-guidance-for-securing-your.html

ソフトウェア制作組織がサプライ チェーンを保護し、ソフトウェアの完全性を確保するための規制や法的圧力の増大に直面しているのは当然のことです。過去数年にわたり、ソフトウェア サプライ チェーンは攻撃者にとってますます魅力的な標的となっており、攻撃を桁違いに増やす機会を窺っています。たとえば、2021 年の Log4j の脆弱性を見てください。Log4j (Apache によって保守され、無数の異なるアプリケーションで使用されているオープンソースのログ フレームワーク) は、数千のシステムを危険にさらす脆弱性の原因でした。

Log4j の通信機能には脆弱性があるため、攻撃者が悪意のあるコードをログに挿入し、システム上で実行される可能性があります。この発見後、セキュリティ研究者は何百万ものエクスプロイト試行を確認し、その多くがサービス拒否 (DoS) 攻撃に成功しました。 Gartner の新しい調査によると、2025 年までに企業組織のほぼ半数がソフトウェア サプライ チェーン攻撃の標的になると予想されています。

しかし、ソフトウェア サプライ チェーンとは何でしょうか?まず、ソフトウェア成果物の開発と提供に貢献する、組織内外のすべてのコード、人材、システム、プロセスの合計として定義されます。ソフトウェア サプライ チェーンの保護を非常に困難にしているのは、最新のアプリケーション開発の複雑さと高度に分散された性質です。組織は、前例のない数のオープンソースの依存関係、広範なコード リポジトリとアーティファクト レジストリ、CI/CD パイプライン、アプリケーションの構築と展開のためのインフラストラクチャ リソースに依存する開発者のグローバル チームを雇用しています。

セキュリティとコンプライアンスは常に企業組織にとって最大の懸念事項ですが、組織のソフトウェア サプライ チェーンを保護することはますます困難になっています。ただし、多くの組織は DevSecOps プラクティスの実装において大幅な進歩を遂げていますが、その多くはまだ何をすべきかを理解する初期段階にあります。

まさにそれがこの記事をまとめた理由です。以下は決して完全なリストではありませんが、ソフトウェア サプライ チェーンのセキュリティへの取り組みを正しい方向に進めるための 4 つの指針を示します。

セキュリティを適用する際には、ソフトウェア サプライ チェーンのあらゆる側面を考慮する

コード ベースの 80% 以上にオープン ソースの脆弱性が少なくとも 1 つ含まれていることを考えると、OSS の依存関係は必然的にソフトウェア サプライ チェーンのセキュリティの中核的な焦点となっています。しかし、最新のソフトウェア サプライ チェーンには、セキュリティ体制が見落とされているか、適切に管理されるべきことが組織内で広く理解されていない他のエンティティも含まれています。これらのエンティティは、コード リポジトリ、CI および CD パイプライン、インフラストラクチャ、アーティファクト レジストリであり、それぞれにセキュリティ管理と定期的なコンプライアンス評価が必要です。

CI/CD および CIS ソフトウェア サプライ チェーン セキュリティ ベンチマークの OWASP Top-10 などのフレームワーク。これらのフレームワークに準拠するには、ほんの数例を挙げると、きめ細かい RBAC、最小特権の原則の適用、コンテナーとコードとしてのインフラストラクチャの脆弱性と構成ミスのスキャン、ビルドの分離、アプリケーションのセキュリティ テストの統合、シークレットの適切な管理が必要になります。

SBOM は、ゼロデイやその他のコンポーネントの問題を修正するために重要です

国家のサイバーセキュリティ体制を強化するために2021年半ばにホワイトハウスが発行した大統領令14028の一部では、ソフトウェア製造業者に対し、連邦政府の顧客にソフトウェア部品表（SBOM）を提供することが義務付けられている。 SBOM は本質的に、ソフトウェアを構成するすべてのコンポーネントを可視化するために設計された正式な記録です。これらは、ソフトウェアの構築に使用されるすべてのオープンソースおよびサードパーティのライブラリ、依存関係、およびコンポーネントの詳細な機械可読リストを提供します。

組織が EO 14028 によって義務付けられているかどうかに関係なく、ソフトウェア アーティファクトの SBOM を生成および管理することは価値のある実践です。 SBOM は、コンポーネントの問題やゼロデイ脆弱性を修正するために不可欠なツールです。検索可能なリポジトリに保存されると、SBOM は特定の依存関係の存在のマップを提供し、セキュリティ チームが影響を受けるコンポーネントまで脆弱性を迅速に追跡できるようにします。

コードとしてのポリシーを使用したソフトウェア開発ライフサイクルの管理

最新のアプリケーション開発の世界では、セキュリティとコンプライアンスを損なうエラーや意図的なアクションを排除するための堅牢なガードレールが不可欠なツールです。ソフトウェア サプライ チェーン全体にわたる適切なガバナンスは、組織が正しいことを行うことを容​​易にし、間違ったことを行うことを非常に困難にすることを意味します。

多くのプラットフォームやツールは、すぐに実行できるすぐに使用できるポリシーを提供しますが、Open Policy Agent 業界標準に基づいた Policy-as-Code を使用すると、完全にカスタマイズ可能なポリシーの作成と実行が可能になります。アクセス許可から、ベンダー、バージョン、パッケージ URL、ライセンスなどの基準に基づいた OSS 依存関係の使用の許可または拒否に至るまで、ポリシーを管理します。

SLSA を使用してソフトウェア アーティファクトの信頼性を検証および保証する機能

ユーザーや消費者は、ソフトウェアが信頼できるものであることをどのようにして判断するのでしょうか?ソフトウェア成果物の信頼性を判断するときは、誰がコードを書いたのか、誰が構築したのか、どの開発プラットフォームで構築されたのかを知る必要があります。内部にどのようなコンポーネントが入っているかを知ることも知っておくべきことです。

出所 (ソフトウェアの出所と管理過程の記録) を検証できたら、ソフトウェアを信頼するかどうかを決定できます。この目的を達成するために、Supply Chain Level of Software Artifacts (SLSA) フレームワークが作成されました。これにより、ソフトウェア制作組織はソフトウェア サプライ チェーンのあらゆる側面から情報を取得し、成果物とそのビルドのプロパティを検証し、セキュリティ問題のリスクを軽減できます。実際には、ソフトウェア制作組織は SLSA フレームワーク要件を採用して準拠し、ソフトウェア証明書を検証および生成する方法を実装する必要があります。ソフトウェア証明書は、ソフトウェア サプライ チェーン全体にわたるソフトウェア アーティファクトに関する認証されたクレーム (メタデータ) です。