InfoQ ホームページ software-supply-chain に関するすべてのコンテンツ
-
CNCF、ソフトウェアサプライチェーンセキュリティを強化するin‑totoを卒業
2025年4月23日、Cloud Native Computing Foundation (CNCF)は、ソフトウェア開発ライフサイクルの各ステップ(ビルド、署名、デプロイなど)が適切に認可され、検証可能であることを保証することでサプライチェーンの整合性を強化するフレームワークであるin‑totoの卒業を発表した。この動きは、in‑totoが完全な成熟と安定性を達成し、広く採用されている他の卒業したCNCFプロジェクトに加わり、大規模な生産に対応可能であることを示している。
-
MicrosoftがAzure DevOps MCPサーバーのパブリックプレビューを開始
MicrosoftがAzure DevOps Model Context Provider(MCP)サーバーのパブリックプレビューをリリースした。
-
DockerがHardened base imagesを発表
Dockerは脆弱性の低減とコンテナ化アプリケーション用ソフトウェアサプライチェーンのセキュリティ向上のために、本番環境向けの新たなセキュリティ強化型ベースイメージ群を発表した。
-
DockerがHardened Imagesを導入、コンテナセキュリ���ィを強化
DockerはDocker Hardened Images、ソフトウェアサプライチェーンの脅威から保護するために設計された、エンタープライズグレードでセキュリティ強化されたコンテナイメージのカタログ、をリリースした。Dockerによれば、DevOpsチームが自らコンテナのセキュリティを確保する手間を省くことで、Hardened Imagesはエンタープライズグレードのセキュリティおよびコンプライアンス標準を満たすより簡単な方法を提供する。
-
GitHub Actionsの一部アクションの侵害でCI/CDサプライチェーンのリスクが浮き彫りに
先日、参照・利用用途で人気のGitHub Actionsの一部のアクションが利用者リポジトリを侵害する事件があり、オープンソース GitHub Actionsの公開・使用に伴う重大な脆弱性が露呈する事態となった。
-
JFrog社、強化されたDevSecOpsプラットフォームにランタイムセキュリティを統合
JFrog社は、同社のセキュリティ機能スイートにJFrog Runtimeを導入し、ソフトウェアサプライチェーンプラットフォームにリアルタイムに脆弱性を検出する機能を追加した。このアップデートは、Kubernetesクラスタやクラウドネイティブなアプリケーションを扱う開発者やDevSecOpsチームを対象としている。
-
Dockerコンテナにゼロトラスト・セキュリティを適用する
Docker Desktopをベースとした開発環境にゼロトラスト・セキュリティの原則を適用し、セキュリティ侵害のリスクから保護するための戦略がいくつか存在すると、Docker社のシニア・テクニカル・リーダーであるJay Schmidt氏が説明する。
-
Polyfill.ioのサプライチェーン攻撃で10万以上のサイトが攻撃される
電子商取引のセキュリティ会社Sansecは、Polyfill JSサービスをホスティングしている多くのCDN経由でアクセスした場合に影響を与える新しいサプライチェーン攻撃を発表した。Sansecによると、10万以上のサイトが攻撃されたという。このサービスのオリジナル作成者であるAndrew Betts氏は、Polyfillを使用しているサイトからPolyfillを削除することを提案している。
-
GitHub Dependabotがカスタマイズ可能な自動判定ルールで誤検知を削減
数ヶ月前にDependabotの自動解除ポリシーを開始し、誤検出アラートの数を減らした後、GitHubは開発者がアラートの自動解除と再開の基準を定義するためのカスタムルールのサポートを追加した。
-
Google、Graph for Understanding Artifact (GUAC) v0.1を発表
Googleのオープンソース・セキュリティ・チームはこのほど、セキュリティ専門家向けに設計されたツールGUAC(Graph for Understanding Artifact)v0.1を発表した。GUACはメタデータの合成と集約に重点を置いており、米国のサイバーセキュリティに関する大統領令に概説されている要件に対応している。このツールは、セキュリティ専門家がサプライチェーンのセキュリティ態勢を評価するのを支援することを目的としている。
-
GitHub、Swiftのコードスキャンとセキュリティアドバイザリーサポートを発表
GitHubはSwiftのコードスキャンサポートをベータ版で開始し、脆弱性モニターDependabotの機能を拡張するためにSwiftのセキュリティアドバイザリをアドバイザリ・データベースに含めることを発表した。
-
サプライチェーンのセキュリティ対策の調査結果、有用性の認識と導入に相関があることが判明か
サプライチェーンのセキュリティ対策に関する最近の調査では、一部の対策は広く採用されているものの、主要な対策では採用が遅れていることが判明した。この調査は、Supply-chain Levels for Software Artifacts (SLSA) フレームワークに基づいて行われた。証明書の作成などの主要な対策は、採用が遅れていることが指摘されている。またこの調査では対策の有用性の認知度と採用には高い相関関係があることがわかった。
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
GitHubがそのサプライチェーンセキュリティを拡張し、Rustに適用
GitHubは、そのサプライチェーンセキュリティ機能にRustに対するサポートを追加した。その目的はあなたのプロジェクトとその依存関係に脆弱性がないことを保証することである。GitHubサプライチェーンセキュリティには、アドバイザリのデータベース、依存関係グラフアナライザー、Dependabotアラートとセキュリティ更新が含まれている。
-
Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し
Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般的に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。