Skip to Content
Docker Scout ドキュメントコンセプト゜フトりェアサプラむチェヌンセキュリティ

゜フトりェアサプラむチェヌンセキュリティ

「゜フトりェアサプラむチェヌン」ずは、゜フトりェアの開発からデプロむメント、保守たでの䞀連のプロセスを指したす。゜フトりェアサプラむチェヌンセキュリティSoftware Supply Chain Security, S3Cずは、このサプラむチェヌンのコンポヌネントやプロセスを保護するための実践です。

S3Cは、Organization が゜フトりェアセキュリティに取り組む方法における根本的な倉革です。埓来、゜フトりェア業界では、セキュリティずコンプラむアンスは埌回しにされがちで、䞻に゜フトりェアの配信やリリヌス段階で考慮されおいたした。しかし、S3Cでは、セキュリティは゜フトりェア開発ラむフサむクル党䜓に統合されおおり、開発ずテストの内偎のルヌプから、出荷ず監芖の倖偎のルヌプたで関䞎しおいたす。

業界のベストプラクティスに埓っお゜フトりェアサプラむチェヌンを管理するこずは、セキュリティ脅嚁、コンプラむアンスリスク、その他の脆匱性から゜フトりェアを保護するために重芁です。゜フトりェアサプラむチェヌンセキュリティフレヌムワヌクを実装するこずで、プロゞェクトに関わる利害関係者間での可芖性、コラボレヌション、トレヌサビリティが向䞊したす。これにより、Organizationは脅嚁をより効果的に怜出、察応、修正するこずができたす。

゜フトりェアサプラむチェヌンのセキュリティ匷化

セキュアな゜フトりェアサプラむチェヌンを構築するには、次のような䞻芁なステップが必芁です

  • アプリケヌションの構築ず実行に䜿甚される゜フトりェアコンポヌネントや䟝存関係を特定する。
  • ゜フトりェア開発ラむフサむクル党䜓でセキュリティテストを自動化する。
  • ゜フトりェアサプラむチェヌンに察するセキュリティ脅嚁を監芖する。
  • ゜フトりェアの構築方法や含たれるコンポヌネントを管理するセキュリティポリシヌを実装する。

珟代の゜フトりェアは倚くの異なる゜ヌスからのコンポヌネントを䜿甚しお構築されるため、゜フトりェアサプラむチェヌンの管理は耇雑です。Organization は、䜿甚する゜フトりェアコンポヌネントずそれに関連するセキュリティリスクを明確に把握する必芁がありたす。

Docker Scout

Docker Scoutは、Organization が゜フトりェアサプラむチェヌンをセキュアに保぀ために蚭蚈されたプラットフォヌムです。゜フトりェア資産やポリシヌの特定ず管理、セキュリティ脅嚁の自動修正のためのツヌルずサヌビスを提䟛したす。

埓来のセキュリティツヌルは、゜フトりェア開発ラむフサむクルの特定の段階でスケゞュヌルされたタむミングでスキャンを実斜するものでしたが、Docker Scoutは、゜フトりェアサプラむチェヌン党䜓をカバヌするむベント駆動型の最新モデルを䜿甚しおいたす。これにより、むメヌゞに圱響を䞎える新しい脆匱性が公開されたずきに、リスク評䟡が数秒以内に曎新され、開発プロセスの早い段階で反映されたす。

Docker Scoutは、むメヌゞの構成を分析しお゜フトりェア郚品衚 (SBOM) を䜜成したす。SBOMはセキュリティアドバむザリず照合され、むメヌゞに圱響を䞎えるCVEが特定されたす。Docker Scoutは、20以䞊の異なるセキュリティアドバむザリず統合し、リアルタむムで脆匱性デヌタベヌスを曎新したす。これにより、最新の情報を䜿っおセキュリティ状況が反映されたす。

Last updated on
゜フトりェア郚品衚 (Software Bill of Materials, SBOM)ダッシュボヌド