ソフトウェアセキュリティーの実践を強化する取り組みの一環として、HarnessはSoftware Supply Chain Assurance(SSCA)モジュールを導入し、アプリケーションセキュリティーをコードを超えてソフトウェアサプライチェーン全体に拡張しました。
サプライチェーンセキュリティーの新時代
サイバー脅威が迫っている世界では、包括的なソフトウェアサプライチェーンセキュリティーの必要性は明らかです。SolarWinds、Log4j、Codecovなどの最近の侵害は、侵害されたアーティファクトがソフトウェア消費者に与える可能性のある壊滅的な影響を浮き彫りにしました。これに対抗するには、ソフトウェアサプライチェーンを強化するための堅牢なフレームワークが不可欠です。
大統領令14028:この大統領令は、米国のサイバーセキュリティー体制の強化を目的としており、安全な開発慣行とソフトウェアの可視性の向上を強調しています。アプリケーションとアーティファクトの整合性を確保する手段として、 Software Bills of Material(SBOMs)の採用が加速しています。SBOMは透明性とセキュリティーを提供し、DevSecOpsプログラムを成功させるための重要なコンポーネントになります。
SSCAのHarness:サプライチェーンのセキュリティーの向上
Harness SSCAは、次の主要な機能を提供することで、ソフトウェアサプライチェーンのセキュリティーを強化する重要な一歩を踏み出しました。
1.SLSAに基づくソフトウェアの整合性
Supply-chain Levels for Software Artifacts(SLSA)は、安全なソフトウェアサプライチェーンを構築するための極めて重要なフレームワークです。ソフトウェアの整合性を安全に開発および維持するためのガイドラインを提供します。Harness SSCAはSLSA v1.0仕様に準拠しており、来歴データを生成・検証することでソフトウェアの整合性を確保します。
2.SBOMオーケストレーションとライフサイクル管理
SSCAを使用すると、ユーザーはCycloneDX、SPDX形式でSBOMを生成するための好みのツールを選択できます。ユーザーはプライベートキーを使用してSBOMに署名し、検証することで、安全な保管と関係者との共有を確保できます。
3.オープンソースソフトウェアの可視性と制御
ソフトウェアのかなりの部分がオープンソースコンポーネントに依存しているため、SSCAは、全てのアーティファクトとデプロイにわたるコンポーネントの使用状況を詳細に可視化します。これにより、ユーザーはコンポーネントのバージョン、ライセンス、サプライヤー、PURLに基づいてポリシーを適用できるようになり、オープンソースソフトウェアの制御が強化されます。
HarnessSSCAの詳細
Harness SSCAにより、DevOpsエンジニアとセキュリティーアナリストは以下のことが可能になります。
- SLSA来歴とSBOMを生成。
- SLSAの出所を確認。
- ポリシーを適用して、リスクのあるオープンソース成果物がデプロイメントに到達するのを防ぎます。
Harness SSCAを利用することは、多くの組織がDevSecOpsの実践に採用しているプラットフォームアプローチとシームレスに連携します。これは、Security Testing Orchestration(STO)などの重要なセキュリティー機能を補完します。
Harness SSCAを調べてソフトウェアサプライチェーンのセキュリティーを強化するには、こちらにアクセスしてください。
Harness SSCAを組み込んでソフトウェアサプライチェーンを強化し、整合性とセキュリティーを確保することは、進化し続けるサイバー脅威の状況から組織を保護するための重要なステップです。
この製品の詳細については、Harness製品ページをご覧ください。
