InfoQ ホームページ software-supply-chain に関するすべてのコンテンツ
-
ソフトウェアサプライチェーンセキュリティプロジェクトのin-totoがCNCFインキュベーターとして承認される
CNCF技術監視委員会(TOC)は、in-totoプロジェクトをCNCFインキュベーションプロジェクトとして受け入れた。in-totoプロジェクトは、ソフトウェアのビルド・配信プロセス全体(「サプライチェーン」)を悪意のある攻撃者から暗号によって保護することを目的としている。
-
オープンソースソフトウェアのサプライチェーンの安全性確保
SonarSourceのセキュリティ研究者による最近の調査結果では、Pip、Yarn、Composerなどの一般的なパッケージマネージャに複数のセキュリティ脆弱性があることが判明している。しかし、パッケージマネージャは、オープンソースのセキュリティチェーンにおける唯一の弱点ではない。InfoQは、SonatypeのCTOであるBrian Foxに話を聞いた。
-
OpenSSFが、ソフトウェアサプライチェーンのセキュリティを改善するためのAlpha-Omegaプロジェクトを発表
GoogleとMicrosoftが提携しているOpen Source Security Foundation(OpenSSF)は、Alpha-Omegaプロジェクトを発表した。オープンソースソフトウェア(OSS)プロジェクト全体のサプライチェーンセキュリティを改善するためのものだ。このプロジェクトは、最も広く展開されている重要なOSSプロジェクトのセキュリティ体制の改善に焦点を当てている。
-
GoogleとGitHubが新しいGitHubアクションワークフローを備えたOpenSSFスコアカードv4を発表
GitHubとGoogleは、Open Source Security Foundation(OpenSSF)のScorecardsプロジェクトのバージョン4リリースを発表した。スコアカードは自動化されたセキュリティツールである。このツールにより、オープンソースプロジェクトにおけるリスクの高いサプライチェーンのプラクティスが特定される。このリリースでは、新しいスコアカードGitHubアクション、新しいセキュリティチェックが追加され、Foundationsの毎週のスキャンに含まれるリポジトリが大幅に増加した。
-
Aqua Securityがサプライチェーン攻撃の大幅な増加を報告
Aqua Securityの最近のレポートで、サプライチェーン攻撃の脅威の増加が浮き彫りとなった。レポートによると、サプライチェーン攻撃は2020年から2021年にかけて300%増加した。また、ソフトウェア開発環境全体のセキュリティレベルは低いままであった。GoogleとCloud Native Computing Foundation(CNCF)は最近、サプライチェーンのセキュリティを向上させるためのアプローチを詳述した論文を発表した。