ソフトウェア サプライ チェーンを保護する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このドキュメントでは、主に、ソフトウェア サプライ チェーンのプロセスとシステムにおけるソフトウェアの保護を支援するベスト プラクティスについて説明します。また、Google Cloud でいくつかのプラクティスを実装する方法についても説明します。

ソフトウェアのライフサイクル全体にわたって、またはソフトウェア サプライ チェーンのセキュリティをサポートする基礎的な開発手法において、ソフトウェアを保護するためのその他の考慮事項があります。例:

  • システムへの物理アクセスとリモート アクセスの制御。
  • 監査、モニタリング、フィードバックのメカニズムを実装して、脅威やポリシーの違反にすばやく対応し、対処できるようにします。
  • 基本的なコーディング プラクティス(設計、入力検証、信頼できないシステムへの出力、データ処理、コード分析、暗号など)。
  • このドキュメントで説明している手法以外の基本的な DevOps プラクティス(技術手法、チーム プロセス、組織文化など)。
  • 直接的な依存関係と推移的な依存関係に関するオープンソース ライセンスを含む、ソフトウェア ライセンス条項の遵守。

    一部のオープンソース ライセンスには、商用ソフトウェアで問題となるライセンス条項の制限がいくつかあります。特に、一部のライセンスでは、再利用するオープンソース ソフトウェアと同じライセンスでソースコードをリリースする必要があります。ソースコードを非公開にする場合は、使用するオープンソース ソフトウェアのライセンス条項を理解することが重要です。

  • 従業員にトレーニングを提供することで、サイバーセキュリティの意識を高めます。情報セキュリティの専門家による調査「State of Cybersecurity 2021, Part 2」によると、ソーシャル エンジニアリングが最も一般的な攻撃タイプでした。調査回答者も、サイバーセキュリティのトレーニングと意識付けのプログラムが従業員の認知度にある程度のプラスの影響(46%)または強力にプラスの影響(32%)をもたらしたと報告しています。

これらのトピックの詳細については、以降のセクションのリソースをご覧ください。

Google Cloud でのセキュリティ

Google Cloud セキュリティ ベスト プラクティス センターのガイドの 1 つである、Google Cloud セキュリティ基盤ガイドで、組織構造、認証と承認、リソース階層、ネットワーク、ロギング、検出制御などの設定について学習します。

脆弱性と潜在的リスクに関する集中情報は、次の Google Cloud サービスを使用して表示できます。

  • Security Command Center を使用して、Google Cloud 組織全体の脆弱性と脅威に関する情報を表示します。
  • Recommender を使用して、サービスの使用状況に関する情報を取得します。これには、リスクの軽減に役立つ推奨事項が含まれます。たとえば、過剰な権限を持つ IAM プリンシパルや、放置された Google Cloud プロジェクトを特定できます。

Google Cloud のセキュリティの詳細については、Google Cloud ウェブサイトのセキュリティ セクションをご覧ください。

DevOps とソフトウェア開発の実践

ソフトウェア デリバリーの迅速化とソフトウェアの信頼性と安全性の向上に役立つ DevOps プラクティスについては、DevOps の能力のドキュメントをご覧ください。

また、すべてのプログラミング言語に適用されるコードの設計、開発、テストの基本的なプラクティスがあります。また、すべての依存関係で、ソフトウェアの配布方法とソフトウェア ライセンスの条件を評価する必要があります。Linux Foundation では、次のトピックに関する無料のオンライン トレーニングを提供しています。

ポリシーの作成

ベスト プラクティスを段階的に実装する場合は、組織のポリシーを文書化し、ポリシーの検証を開発、ビルド、デプロイのプロセスに組み込みます。たとえば、組織のポリシーには Binary Authorization を使用して実装するデプロイの条件を含めることができます。