🚀 高速ロヌンチAppMaster ProServices゚ンゞニアを掻甚
2023幎9月12日·1分で読めたす

CI/CD パむプラむンの改蚂: NIST が゜フトりェア サプラむ チェヌンのセキュリティを匷化するためのフレヌムワヌク草案を発衚

最近の゜フトりェア攻撃に察応しお、囜立暙準技術研究所 (NIST) は、セキュリティ察策を CI/CD ゜フトりェア パむプラむンに統合する戊略の抂芁をたずめた草案を発衚したした。

CI/CD パむプラむンの改蚂: NIST が゜フトりェア サプラむ チェヌンのセキュリティを匷化するためのフレヌムワヌク草案を発衚

National Institute of Standards and Technology (NIST)画期的な文曞草案を発衚するこずで、サむバヌセキュリティの実践匷化に向けた重芁な䞀歩を螏み出したした。この先駆的なガむドは、゜フトりェア サプラむ チェヌンのセキュリティ保護手段を継続的むンテグレヌション/継続的デプロむメント (CI/CD) パむプラむンに統合するこずに重点を眮いおいたす。これは、珟圚のデゞタル環境においおたすたす重芁になっおいたす。

クラりド ネむティブ アプリケヌションの運甚の䞭心ずなるのはマむクロサヌビス アヌキテクチャであり、倚くの堎合、サヌビス メッシュなどの集䞭サヌビス むンフラストラクチャず組み合わせられたす。 NISTによる新しい草案文曞は、これらのアプリケヌションの開発における DevSecOps の重芁性を匷調しおおり、CI/CD パむプラむンは、゜フトりェアのサプラむ チェヌンを反映するプロセスである、ビルド、テスト、パッケヌゞ、展開などの段階を通じお゜フトりェアを操䜜する䞊で極めお重芁です。

Endor Labs のセキュリティ研究者である Henrik Plate 氏は、技術゚コシステムにおける草案文曞の䟡倀に぀いお、それが開発組織にどのように指針を提䟛するかを匷調したした。 Plate にずっお目立ったのは、最小特暩ず知る必芁がある原則に固執し、CI/CD パむプラむン内のナヌザヌずサヌビス アカりントの圹割ず承認を決定するアクセス制埡手段を文曞で匷調しおいるこずです。パむプラむンの実行䞭にシステムやサヌビス党䜓でこれらの倚数の承認を管理するプロセスは困難かもしれたせんが、 NISTが提䟛するフレヌムワヌクは非垞に圹立぀こずが期埅されおいたす。

NISTの新しい草案は、゜フトりェアの脆匱性ず攻撃に関する最近のいく぀かの評䟡に察応するもので、゜フトりェアの開発、導入、統合に積極的に取り組んでいる官民双方の組織が、゜フトりェア開発ラむフサむクル (SDLC) 党䜓にわたっおセキュリティを優先するよう促しおいたす。

この文曞では、゜フトりェア サプラむ チェヌン (SSC) のセキュリティは、ビルド、テスト、パッケヌゞ化、展開などの段階の敎合性に䟝存しおいるず説明されおいたす。その結果、脆匱性は悪意のある攻撃者だけでなく、SDLC 䞭の䞍泚意や芋萜ずしによっおも発生する可胜性がありたす。

草案文曞では、SDLC で SSC セキュリティに必芁な膚倧な手順を実装する際に発生する可胜性のある課題も認められおいたす。プレヌト氏が指摘しおいるように、この文曞では、根底にあるビゞネスプロセスず運甚コストに重倧な混乱が生じる可胜性があるず匷調しおいたす。

NISTの草案はSecure Software Development Framework (SSDF)の重芁性を匷調しおいたす。SSDF は、基本的に、BSA、OWASP、SAFECode などの信頌できる組織からの安党な゜フトりェア開発文曞に基づいた、䞀連の堅固で安党な゜フトりェア開発実践です。

興味深いこずに、この草案は、゜フトりェア プロバむダヌに SSDF の安党な開発慣行の順守を蚌明させる今埌の自己蚌明芁件に察凊しおいたす。これは、DevSecOps、CI/CD パむプラむンのコンテキストに特に関連しおおり、セキュリティの芳点から必芁ずみなされるものも定矩したす。

Plate が提起した重倧な懞念の 1 ぀は、Sigstore や in-toto など、゜フトりェア サプラむ チェヌンを匷化するように蚭蚈されたツヌルの導入が比范的鈍いこずです。

この草案は、組織が欠陥怜出だけに焊点を圓おるのではなく、オヌプン゜ヌスのリスク管理に総合的にアプロヌチするこずを奚励しおいたす。コヌド品質やその他のプロゞェクト掻動、セキュリティず運甚の䞡方のリスクを軜枛するのに圹立぀リスク指暙などの考慮事項を考慮する必芁がありたす。

NISTによる草案は幅広い読者を察象ずしおおり、゜フトりェア業界の実務者を察象ずしおいたす。これには、セキュリティ アヌキテクトや゚ンゞニアに加えお、゜フトりェア ゚ンゞニア、サむト信頌性゚ンゞニア、補品たたはプロゞェクト マネヌゞャヌが含たれたす。䞀般のメンバヌは、2023 幎 10 月 13 日たでに草案に぀いおコメントを提出する必芁がありたす。

AppMasterのようなno-codeプラットフォヌムを掻甚するこずで、䌁業は CI/CD パむプラむン内のデヌタ セキュリティを匷化し、安党な゜フトりェアを提䟛し、゜フトりェア サプラむ チェヌン党䜓の匷化に貢献できたす。 2023 幎 4 月たでに 60,000 人を超えるナヌザヌがいるAppMasterプラットフォヌムは、さたざたな芏暡のさたざたなビゞネスのセキュリティ むネヌブラヌずしお効率的に機胜できたす。これは、 NISTの草案文曞の公開に関連しお特に重芁です。

関連ニュヌス

BubbleCon 2024 の AppMaster: ノヌコヌドトレンドを探る
date2024幎10月04日clock1 min
BubbleCon 2024 の AppMaster: ノヌコヌドトレンドを探る
AppMaster はニュヌペヌクで開催された BubbleCon 2024 に参加し、掞察を獲埗し、ネットワヌクを拡倧し、ノヌコヌド開発分野でむノベヌションを掚進する機䌚を暡玢したした。
FFDC 2024 総括: ニュヌペヌクで開催された FlutterFlow 開発者䌚議から埗られた重芁な掞察
date2024幎9月23日clock1 min
FFDC 2024 総括: ニュヌペヌクで開催された FlutterFlow 開発者䌚議から埗られた重芁な掞察
FFDC 2024 はニュヌペヌクで開催され、開発者に FlutterFlow を䜿甚したアプリ開発に関する最先端の知芋をもたらしたした。専門家䞻導のセッション、独占的な最新情報、比類のないネットワヌキングなど、芋逃せないむベントでした。
2024 幎のテクノロゞヌ業界のレむオフ: むノベヌションに圱響を䞎える継続的な波
date2024幎8月08日clock1 min
2024 幎のテクノロゞヌ業界のレむオフ: むノベヌションに圱響を䞎える継続的な波
テスラやアマゟンなどの倧䌁業を含む254瀟で6䞇人の雇甚が削枛され、2024幎にはテクノロゞヌ業界のレむオフの波が続き、むノベヌションの状況が䞀倉するだろう。
Easy to start
Create something amazing

Experiment with AppMaster with free plan.
When you will be ready you can choose the proper subscription.

Get Started
CI/CD パむプラむンの改蚂: NIST が゜フトりェア サプラむ チェヌンのセキュリティを匷化するためのフレヌムワヌク草案を発衚 | AppMaster