ソフトウェアサプライチェーンセキュリティ
「ソフトウェアサプライチェーン」とは、ソフトウェアの開発からデプロイメント、保守までの一連のプロセスを指します。ソフトウェアサプライチェーンセキュリティ(Software Supply Chain Security, S3C)とは、このサプライチェーンのコンポーネントやプロセスを保護するための実践です。
S3Cは、Organization がソフトウェアセキュリティに取り組む方法における根本的な変革です。従来、ソフトウェア業界では、セキュリティとコンプライアンスは後回しにされがちで、主にソフトウェアの配信やリリース段階で考慮されていました。しかし、S3Cでは、セキュリティはソフトウェア開発ライフサイクル全体に統合されており、開発とテストの内側のループから、出荷と監視の外側のループまで関与しています。
業界のベストプラクティスに従ってソフトウェアサプライチェーンを管理することは、セキュリティ脅威、コンプライアンスリスク、その他の脆弱性からソフトウェアを保護するために重要です。ソフトウェアサプライチェーンセキュリティフレームワークを実装することで、プロジェクトに関わる利害関係者間での可視性、コラボレーション、トレーサビリティが向上します。これにより、Organizationは脅威をより効果的に検出、対応、修正することができます。
ソフトウェアサプライチェーンのセキュリティ強化
セキュアなソフトウェアサプライチェーンを構築するには、次のような主要なステップが必要です:
- アプリケーションの構築と実行に使用されるソフトウェアコンポーネントや依存関係を特定する。
- ソフトウェア開発ライフサイクル全体でセキュリティテストを自動化する。
- ソフトウェアサプライチェーンに対するセキュリティ脅威を監視する。
- ソフトウェアの構築方法や含まれるコンポーネントを管理するセキュリティポリシーを実装する。
現代のソフトウェアは多くの異なるソースからのコンポーネントを使用して構築されるため、ソフトウェアサプライチェーンの管理は複雑です。Organization は、使用するソフトウェアコンポーネントとそれに関連するセキュリティリスクを明確に把握する必要があります。
Docker Scout
Docker Scoutは、Organization がソフトウェアサプライチェーンをセキュアに保つために設計されたプラットフォームです。ソフトウェア資産やポリシーの特定と管理、セキュリティ脅威の自動修正のためのツールとサービスを提供します。
従来のセキュリティツールは、ソフトウェア開発ライフサイクルの特定の段階でスケジュールされたタイミングでスキャンを実施するものでしたが、Docker Scoutは、ソフトウェアサプライチェーン全体をカバーするイベント駆動型の最新モデルを使用しています。これにより、イメージに影響を与える新しい脆弱性が公開されたときに、リスク評価が数秒以内に更新され、開発プロセスの早い段階で反映されます。
Docker Scoutは、イメージの構成を分析してソフトウェア部品表 (SBOM) を作成します。SBOMはセキュリティアドバイザリと照合され、イメージに影響を与えるCVEが特定されます。Docker Scoutは、20以上の異なるセキュリティアドバイザリと統合し、リアルタイムで脆弱性データベースを更新します。これにより、最新の情報を使ってセキュリティ状況が反映されます。