ソフトウェア サプライ チェーン セキュリティ チェックリスト

サプライ チェーンを攻撃から守る7つのルール

ソフトウェア サプライ チェーンは、オープン ソース パッケージやコードとしてのインフラストラクチャ(IaC)テンプレートなどのソフトウェア コンポーネントに加え、バージョン管理システム(VCS)や継続的インテグレーション/継続的デリバリ(CI/CD)パイプラインなど基盤となる配信パイプラインから構成されます。

ソフトウェア サプライ チェーンは独自コードに直接アクセスでき、少し探索すれば機密データに到達するため、セキュリティの確保が絶対不可欠です。この事実は、昨今のソフトウェア サプライ チェーン攻撃を見ても明らかです。Gartner®社は、「2025年までに、世界の組織の45%がソフトウェア サプライ チェーン攻撃を経験する¹」と予測しています。

このチェックリストには、リスクの識別、優先順位付け、対処を加速し、サプライ チェーン セキュリティ攻撃に対する防御を固めるうえで重要な、7つの検討事項が含まれています。

サプライ チェーン セキュリティ チェックリストをダウンロードして、以下を確認してください。

• ソフトウェア サプライ チェーンの各レイヤーに潜む一般的なセキュリティ リスク。
• 各種サードパーティ ソフトウェア コンポーネントを保護するルール。
• CI/CDパイプライン、レジストリ、リポジトリ、その他に対するセキュリティ ベストプラクティス。

1. Manjunath Bhat, Dale Gardner, and Mark Horvath, How Software Engineering Leaders Can Mitigate Software Supply Chain Security Risks, Gartner, 2021年7月15日