ソフトウェアサプライチェーンを守る、7つの段階におけるセキュリティ対策とは

　ソフトウェア開発では、ソフトウェアサプライチェーンの各段階で脆弱性をはじめとしたセキュリティ対策をしっかり行い、テストや品質保証、そしてリリースにつなげていく必要がある。それでは実際、各ステップにおいて、悪用される可能性のある脆弱性を網羅し、具体的なセキュリティ対策を実装するためにはどうすればよいのだろうか。

　本資料では、ソフトウェア開発のライフサイクルを分解しながら、キュレーション／作成／パッケージ／昇格／配布／デプロイ／実行という、ソフトウェアサプライチェーンの7つの段階においてなすべきセキュリティ対策を紹介している。

　7つの段階には、それぞれ特有の脅威が存在する。ソフトウェアサプライチェーンを守るためには、問題が見つかる段階に応じて、予防と事後対応の両方に取り組むことが重要だ。資料では、7段階ごとの潜在的な脅威と対策について解説した上で、DevOpsチームやセキュリティチームがソリューションを選定する際の指針となるベストプラクティスを紹介している。ぜひ参考にしてほしい。