近年のアプリ開発では、ソフトウェアサプライチェーン攻撃が大きな問題となっている。万が一攻撃が成功した場合、リリースされたアプリが広く使われると、その被害は大規模なものになってしまう。特に昨今は、OSS(オープンソースソフトウェア)の利用が進んでおり、OSSのソフトウェアサプライチェーンに向けた攻撃も増加している。
ソフトウェアサプライチェーン攻撃のエントリーポイントは、幾つかあるため、ソフトウェア開発ライフサイクル全体で包括的なセキュリティ対策を行うことが重要だ。そこで安全なソフトウェアサプライチェーンを実現するセキュリティ基盤が注目を集めている。本資料では、同基盤の全体像を示すとともに、同基盤の各ツールが果たす役割について図を交えて分かりやすく解説する。
例えば、ソフトフェア開発者やDevOpsエンジニアがサプライチェーン全体を把握し、セキュリティとコンプライアンスの問題を特定・解決するための「ソフトウェア構成分析(SCA)ツール」などだ。その他、OSSの脆弱性スキャンやコンテナのセキュリティスキャンなどを行うツールもあるため、DevSecOpsの実現にぜひ役立ててほしい。