InfoQ ホームページ software-supply-chain に関するすべてのコンテンツ
ニュース
RSSフィード-
JFrog社、強化されたDevSecOpsプラットフォームにランタイムセキュリティを統合
JFrog社は、同社のセキュリティ機能スイートにJFrog Runtimeを導入し、ソフトウェアサプライチェーンプラットフォームにリアルタイムに脆弱性を検出する機能を追加した。このアップデートは、Kubernetesクラスタやクラウドネイティブなアプリケーションを扱う開発者やDevSecOpsチームを対象としている。
-
Dockerコンテナにゼロトラスト・セキュリティを適用する
Docker Desktopをベースとした開発環境にゼロトラスト・セキュリティの原則を適用し、セキュリティ侵害のリスクから保護するための戦略がいくつか存在すると、Docker社のシニア・テクニカル・リーダーであるJay Schmidt氏が説明する。
-
Polyfill.ioのサプライチェーン攻撃で10万以上のサイトが攻撃される
電子商取引のセキュリティ会社Sansecは、Polyfill JSサービスをホスティングしている多くのCDN経由でアクセスした場合に影響を与える新しいサプライチェーン攻撃を発表した。Sansecによると、10万以上のサイトが攻撃されたという。このサービスのオリジナル作成者であるAndrew Betts氏は、Polyfillを使用しているサイトからPolyfillを削除することを提案している。
-
GitHub Dependabotがカスタマイズ可能な自動判定ルールで誤検知を削減
数ヶ月前にDependabotの自動解除ポリシーを開始し、誤検出アラートの数を減らした後、GitHubは開発者がアラートの自動解除と再開の基準を定義するためのカスタムルールのサポートを追加した。
-
Google、Graph for Understanding Artifact (GUAC) v0.1を発表
Googleのオープンソース・セキュリティ・チームはこのほど、セキュリティ専門家向けに設計されたツールGUAC(Graph for Understanding Artifact)v0.1を発表した。GUACはメタデータの合成と集約に重点を置いており、米国のサイバーセキュリティに関する大統領令に概説されている要件に対応している。このツールは、セキュリティ専門家がサプライチェーンのセキュリティ態勢を評価するのを支援することを目的としている。
-
GitHub、Swiftのコードスキャンとセキュリティアドバイザリーサポートを発表
GitHubはSwiftのコードスキャンサポートをベータ版で開始し、脆弱性モニターDependabotの機能を拡張するためにSwiftのセキュリティアドバイザリをアドバイザリ・データベースに含めることを発表した。
-
サプライチェーンのセキュリティ対策の調査結果、有用性の認識と導入に相関があることが判明か
サプライチェーンのセキュリティ対策に関する最近の調査では、一部の対策は広く採用されているものの、主要な対策では採用が遅れていることが判明した。この調査は、Supply-chain Levels for Software Artifacts (SLSA) フレームワークに基づいて行われた。証明書の作成などの主要な対策は、採用が遅れていることが指摘されている。またこの調査では対策の有用性の認知度と採用には高い相関関係があることがわかった。
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
GitHubがそのサプライチェーンセキュリティを拡張し、Rustに適用
GitHubは、そのサプライチェーンセキュリティ機能にRustに対するサポートを追加した。その目的はあなたのプロジェクトとその依存関係に脆弱性がないことを保証することである。GitHubサプライチェーンセキュリティには、アドバイザリのデータベース、依存関係グラフアナライザー、Dependabotアラートとセキュリティ更新が含まれている。
-
Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し
Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般���に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。
-
ソフトウェアサプライチェーンセキュリティプロジェクトのin-totoがCNCFインキュベーターとして承認される
CNCF技術監視委員会(TOC)は、in-totoプロジェクトをCNCFインキュベーションプロジェクトとして受け入れた。in-totoプロジェクトは、ソフトウェアのビルド・配信プロセス全体(「サプライチェーン」)を悪意のある攻撃者から暗号によって保護することを目的としている。
-
オープンソースソフトウェアのサプライチェーンの安全性確保
SonarSourceのセキュリティ研究者による最近の調査結果では、Pip、Yarn、Composerなどの一般的なパッケージマネージャに複数のセキュリティ脆弱性があることが判明している。しかし、パッケージマネージャは、オープンソースのセキュリティチェーンにおける唯一の弱点ではない。InfoQは、SonatypeのCTOであるBrian Foxに話を聞いた。
-
OpenSSFが、ソフトウェアサプライチェーンのセキュリティを改善するためのAlpha-Omegaプロジェクトを発表
GoogleとMicrosoftが提携しているOpen Source Security Foundation(OpenSSF)は、Alpha-Omegaプロジェクトを発表した。オープンソースソフトウェア(OSS)プロジェクト全体のサプライチェーンセキュリティを改善するためのものだ。このプロジェクトは、最も広く展開されている重要なOSSプロジェクトのセキュリティ体制の改善に焦点を当てている。
-
GoogleとGitHubが新しいGitHubアクションワークフローを備えたOpenSSFスコアカードv4を発表
GitHubとGoogleは、Open Source Security Foundation(OpenSSF)のScorecardsプロジェクトのバージョン4リリースを発表した。スコアカードは自動化されたセキュリティツールである。このツールにより、オープンソースプロジェクトにおけるリスクの高いサプライチェーンのプラクティスが特定される。このリリースでは、新しいスコアカードGitHubアクション、新しいセキュリティチェックが追加され、Foundationsの毎週のスキャンに含まれるリポジトリが大幅に増加した。
-
Aqua Securityがサプライチェーン攻撃の大幅な増加を報告
Aqua Securityの最近のレポートで、サプライチェーン攻撃の脅威の増加が浮き彫りとなった。レポートによると、サプライチェーン攻撃は2020年から2021年にかけて300%増加した。また、ソフトウェア開発環境全体のセキュリティレベルは低いままであった。GoogleとCloud Native Computing Foundation(CNCF)は最近、サプライチェーンのセキュリティを向上させるためのアプローチを詳述した論文を発表した。