特に 5 月にバイデン大統領がサイバーセキュリティに関する大統領令 (EO 14028) を発令した後、サイバーセキュリティの状況は急速に進化しており、ソフトウェア サプライ チェーンの保護が脚光を浴びています。ソフトウェア サプライ チェーンの保護への関心が高まるにつれ、企業は、ソフトウェア サプライ チェーン リスク管理 (SSCRM) やソフトウェア部品表 (SBOM) などの関連要件に準拠するための戦略を模索するようになりました。組織が SSCRM を理解し、効果的なプラクティスを採用できるように、ソフトウェア サプライ チェーン戦略を成功させるための 12 の必須要素を特定しました。これらの要素は、作成からエンド ユーザーの操作まで、ソフトウェア ライフサイクル全体を考慮し、サプライ チェーンのセキュリティを維持するためのさまざまな利害関係者の貢献を強調しています。これらの要素の順序は階層的ではなく、相互関係によってグループ化されていることに注意してください。
グループ 1: アセット インベントリ、SBOM、および来歴
要素の最初のグループは、資産インベントリ、SBOM、およびソフトウェアの来歴を扱います。 IT および運用チームは、ソフトウェア資産とそれに関連する依存関係の正確なインベントリを維持する責任があります。これは、迅速なパッチ適用とインシデント対応に不可欠です。各ソフトウェアの依存関係を詳述する最新かつ完全な SBOM は、脆弱性の開示などのセキュリティ インシデント時の影響分析に不可欠です。
グループ 2: 開発環境の保護と整合性証明
要素の 2 番目のグループには、開発環境のセキュリティ保護、リリースされたソフトウェアの整合性の証明、およびソフトウェア製品で発生する可能性のある品質またはセキュリティの問題の理解が含まれます。アプリケーション開発チームと、DevSecOps またはセキュア ソフトウェア開発ライフサイクル (SDLC) プロセスへの準拠が、主にこれらの責任を推進します。開発環境を保護することは、生成されたアーティファクトの整合性と機能を保証するために不可欠です。
グループ 3: 規制とライセンスのコンプライアンス、予期しない機能
3 番目の要素セットは、ソフトウェア製品に含まれる予期しない機能だけでなく、規制とライセンスの違反も対象としています。ソフトウェアをダウンロードまたは使用する調達者とエンドユーザーの両方が、これらの問題に注意を払う必要があります。準拠していない単一の属性が重大な結果につながる可能性があるため、準拠していない場合は特別な注意が必要です。
グループ 4: ガバナンス ポリシーと報告
最後の 2 つの要素は、ガバナンス ポリシーの定義とレポートに関連しています。ソフトウェア サプライ チェーンに効果的なビジネス コントロールとリスク管理を実装することで、組織は他の要素全体の潜在的なリスクを軽減できます。使用状況とリスクの境界も、サプライヤー、サービス、および図書館の承認プロセスに組み込む必要があります。これらの 12 の要素に沿ったソフトウェア サプライ チェーンのリスク管理プロセスを実装することで、企業は新たな脅威や規制要件の先を行くことができます。 SSCRM は、SBOM の作成または要求に限定されるものではなく、ソフトウェア ライフサイクルにおける利害関係者全体の包括的な一連の責任と実践を網羅しています。
AppMasterを使用すると、SMB と企業は、安全なバックエンド、Web、およびモバイル アプリケーションを構築するための、よりアクセスしやすく効率的なアプローチから恩恵を受けることができます。 AppMaster のno-codeプラットフォームは、技術的負債を最小限に抑え、堅牢なセキュリティ基準を維持しながら、変化する要件に迅速に対応できるようにします。適切な SSCRM の 12 の要素を企業のアプリケーション開発ワークフローに統合することで、利害関係者は安全なソフトウェア サプライ チェーン全体に貢献できます。
