Grow with AppMaster Grow with AppMaster.
Become our partner arrow ico

CI/CD パイプラインの改訂: NIST がソフトウェア サプライ チェーンのセキュリティを強化するためのフレームワーク草案を発表

9月 12, 2023
CI/CD パイプラインの改訂: NIST がソフトウェア サプライ チェーンのセキュリティを強化するためのフレームワーク草案を発表

National Institute of Standards and Technology (NIST)画期的な文書草案を発表することで、サイバーセキュリティの実践強化に向けた重要な一歩を踏み出しました。この先駆的なガイドは、ソフトウェア サプライ チェーンのセキュリティ保護手段を継続的インテグレーション/継続的デプロイメント (CI/CD) パイプラインに統合することに重点を置いています。これは、現在のデジタル環境においてますます重要になっています。

クラウド ネイティブ アプリケーションの運用の中心となるのはマイクロサービス アーキテクチャであり、多くの場合、サービス メッシュなどの集中サービス インフラストラクチャと組み合わせられます。 NISTによる新しい草案文書は、これらのアプリケーションの開発における DevSecOps の重要性を強調しており、CI/CD パイプラインは、ソフトウェアのサプライ チェーンを反映するプロセスである、ビルド、テスト、パッケージ、展開などの段階を通じてソフトウェアを操作する上で極めて重要です。

Endor Labs のセキュリティ研究者である Henrik Plate 氏は、技術エコシステムにおける草案文書の価値について、それが開発組織にどのように指針を提供するかを強調しました。 Plate にとって目立ったのは、最小特権と知る必要がある原則に固執し、CI/CD パイプライン内のユーザーとサービス アカウントの役割と承認を決定するアクセス制御手段を文書で強調していることです。パイプラインの実行中にシステムやサービス全体でこれらの多数の承認を管理するプロセスは困難かもしれませんが、 NISTが提供するフレームワークは非常に役立つことが期待されています。

NISTの新しい草案は、ソフトウェアの脆弱性と攻撃に関する最近のいくつかの評価に対応するもので、ソフトウェアの開発、導入、統合に積極的に取り組んでいる官民双方の組織が、ソフトウェア開発ライフサイクル (SDLC) 全体にわたってセキュリティを優先するよう促しています。

この文書では、ソフトウェア サプライ チェーン (SSC) のセキュリティは、ビルド、テスト、パッケージ化、展開などの段階の整合性に依存していると説明されています。その結果、脆弱性は悪意のある攻撃者だけでなく、SDLC 中の不注意や見落としによっても発生する可能性があります。

草案文書では、SDLC で SSC セキュリティに必要な膨大な手順を実装する際に発生する可能性のある課題も認められています。プレート氏が指摘しているように、この文書では、根底にあるビジネスプロセスと運用コストに重大な混乱が生じる可能性があると強調しています。

NISTの草案はSecure Software Development Framework (SSDF)の重要性を強調しています。SSDF は、基本的に、BSA、OWASP、SAFECode などの信頼できる組織からの安全なソフトウェア開発文書に基づいた、一連の堅固で安全なソフトウェア開発実践です。

興味深いことに、この草案は、ソフトウェア プロバイダーに SSDF の安全な開発慣行の順守を証明させる今後の自己証明要件に対処しています。これは、DevSecOps、CI/CD パイプラインのコンテキストに特に関連しており、セキュリティの観点から必要とみなされるものも定義します。

Plate が提起した重大な懸念の 1 つは、Sigstore や in-toto など、ソフトウェア サプライ チェーンを強化するように設計されたツールの導入が比較的鈍いことです。

この草案は、組織が欠陥検出だけに焦点を当てるのではなく、オープンソースのリスク管理に総合的にアプローチすることを奨励しています。コード品質やその他のプロジェクト活動、セキュリティと運用の両方のリスクを軽減するのに役立つリスク指標などの考慮事項を考慮する必要があります。

NISTによる草案は幅広い読者を対象としており、ソフトウェア業界の実務者を対象としています。これには、セキュリティ アーキテクトやエンジニアに加えて、ソフトウェア エンジニア、サイト信頼性エンジニア、製品またはプロジェクト マネージャーが含まれます。一般のメンバーは、2023 年 10 月 13 日までに草案についてコメントを提出する必要があります。

AppMasterのようなno-codeプラットフォームを活用することで、企業は CI/CD パイプライン内のデータ セキュリティを強化し、安全なソフトウェアを提供し、ソフトウェア サプライ チェーン全体の強化に貢献できます。 2023 年 4 月までに 60,000 人を超えるユーザーがいるAppMasterプラットフォームは、さまざまな規模のさまざまなビジネスのセキュリティ イネーブラーとして効率的に機能できます。これは、 NISTの草案文書の公開に関連して特に重要です。

関連記事

BubbleCon 2024 の AppMaster: ノーコードトレンドを探る
date 10月 04, 2024 clock 3 ミン
BubbleCon 2024 の AppMaster: ノーコードトレンドを探る
AppMaster はニューヨークで開催された BubbleCon 2024 に参加し、洞察を獲得し、ネットワークを拡大し、ノーコード開発分野でイノベーションを推進する機会を模索しました。
FFDC 2024 総括: ニューヨークで開催された FlutterFlow 開発者会議から得られた重要な洞察
date 9月 23, 2024 clock 1 ミン
FFDC 2024 総括: ニューヨークで開催された FlutterFlow 開発者会議から得られた重要な洞察
FFDC 2024 はニューヨークで開催され、開発者に FlutterFlow を使用したアプリ開発に関する最先端の知見をもたらしました。専門家主導のセッション、独占的な最新情報、比類のないネットワーキングなど、見逃せないイベントでした。
App Builder No-code Event
2024 年のテクノロジー業界のレイオフ: イノベーションに影響を与える継続的な波
date 8月 08, 2024
2024 年のテクノロジー業界のレイオフ: イノベーションに影響を与える継続的な波
テスラやアマゾンなどの大企業を含む254社で6万人の雇用が削減され、2024年にはテクノロジー業界のレイオフの波が続き、イノベーションの状況が一変するだろう。
Software IT Low-code Web App App Builder
無料で始めましょう
これを自分で試してみませんか?

AppMaster の能力を理解する最善の方法は、自分の目で確かめることです。無料サブスクリプションで数分で独自のアプリケーションを作成

あなたのアイデアを生き生きとさせる