大手ソフトウェア企業JFrog(ジェイフロッグ)は、DSSE(Dead Simple Signing Envelope)エンベロープJSONの検証プロセスを簡素化することを目的とした新ツール「DSSE Attestation Online Decoder」をリリースした。このツールは、開発者、DevOps、セキュリティーチームが証拠となるペイロードを数秒でデコード・検証できるように設計されており、ソフトウェアサプライチェーンの整合性とセキュリティーを強化する。
DSSEは、任意のデータに署名するために使用される標準JSON形式だ。広く認知されており、ソフトウェアサプライチェーンのセキュリティー証明に利用されている。DSSEは、SLSAの出所および証明の検証、in-toto検証、Sigstoreに特に役立つ。さらに、DSSEはコンプライアンス関連のワークフローに統合でき、SOC2、GDPR、HIPAA、PCI-DSS、FISMA、CCPA、DFARS、CRAなどのグローバル規制に準拠できる。
無料で利用できるDSSE Attestation Online Decoderは、DSSEエンベロープの検証と証拠ペイロードの抽出をユーザーフレンドリーな方法で実現する。ユーザーは署名されたペイロードをわずか数秒で表示し、その内容を理解し、整合性を検証できる。このツールを使うには、DSSE JSONファイルと署名検証用の公開鍵をツールに貼り付けるだけだ。DecoderはDSSEエンベロープを解析し、ペイロードを人間が読めるコンテンツにデコードする。
証拠ファイルの検証が完了すると、JFrog Evidence Collectionなどの自動証拠収集機能を使って、GRC(ガバナンスコンプライアンス)活動に統合できる。この新しいツールは、開発者とセキュリティーチームの能力を強化し、複雑なワークストリームを可能な限りシンプルにするというJFrogのコミットメントの証だ。これにより、アテステーションのレビューと検証のプロセスが大幅に効率化され、ユーザーの時間とリソースを節約することが期待される。
DSSE Attestation Online Decoderはこちら
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
