3 Compliance with GitHub Actions and Sigstore for Go modules” https://github.blog/2022-04-07-slsa-3-compliance-with-github-actions/ 2021年6月16日 Google Security Blog “Introducing SLSA, an End-to-End Framework for Supply Chain Integrity” https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html ソースコー ド 依存 ビルド リリース H F G D A B C E SOURCE THREATS DEPENDENCY THREATS BUILD THREATS 脅威 対応策 A 不正な変更の送信 コードレビュー B リポジトリの侵害 VCSでの管理 C 正しいソースからのビルド コードの普遍性管理 D 不正なビルドプロセス 堅牢なビルド環境 E 侵害された依存の使用 依存関係 F CI/CDで作られていない アーティファクトの登録 クレデンシャルを守る、メタ データの確認 G パッケージリポジトリ 正しい出所の利用 H 侵害されたパッケージ利用 使用パッケージの選択
2022年4月7日 GitHub Blog “Achieving SLSA 3 Compliance with GitHub Actions and Sigstore for Go modules” https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks “Threat Landscape for Supply Chain Attacks” https://github.blog/2020-09-02-secure-your-software-supply-chain-and-protect-against-supply-chain-threats-github-blog/
◦ 生成も使用も自動化できるようにする ▪ Practices and Processes ◦ SBOMを使ったオペレーションを定義する 出典: The Minimum Elements For a Software Bill of Materials (SBOM) https://www.ntia.gov/files/ntia/publications/sbom_minimum_elements_report.pdf
Survey of Existing SBOM Formats and Standards - Version 2021 https://www.ntia.gov/files/ntia/publications/sbom_formats_survey-version-2021.pdf (例: SPDXフォーマット)
知っておくべきこと」https://jfrog.com/ja/blog/log4shell-0-day-vulnerability-all-you-need-to-know/ • Synopsys whitepaper「Open Source Risk in M&A by the Numbers」https://www.synopsys.com/content/dam/synopsys/sig-assets/whitepapers/wp-risk-ma-numbers.pdf • 「『セキュリティ・スキャン』分野のソフトウェア構成分析(SCA)とは?」https://www.ricksoft.jp/blog/articles/001258.html • 「Explore your OSS dependencies. Visually!」https://www.linkedin.com/pulse/explore-your-oss-dependencies-visually-michael-muller/ • 「Survey of Existing SBOM Formats and Standards - Version 2021」https://www.ntia.gov/files/ntia/publications/sbom_formats_survey-version-2021.pdf • 日経XTECH 2021年9月10日掲載 トヨタが推すサイバー対策の新常識「SBOM」、流出するリスクは? https://xtech.nikkei.com/atcl/nxt/column/18/00001/06002/ • ITmedia NEWS 2022年1月11日掲載 OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」 https://www.itmedia.co.jp/news/articles/2201/11/news160.html • 経済産業省商務情報政策局サイバーセキュリティ課「OSSの利活用及びそのセキュリティ確保に向けた管理手法に関する事例集」 https://www.meti.go.jp/press/2021/04/20210421001/20210421001-1.pdf • 「Best practices for introducing JFrog Xray into your DevSecOps process」 https://media.jfrog.com/wp-content/uploads/2021/04/07164155/Best-practices-for-introducing-JFrog-Xray-into-your-DevSecOps-process.pdf • 2022年4月7日 GitHub Blog 「Achieving SLSA 3 Compliance with GitHub Actions and Sigstore for Go modules」 https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks • 「Threat Landscape for Supply Chain Attacks」https://github.blog/2020-09-02-secure-your-software-supply-chain-and-protect-against-supply-chain-threats-github-blog/ • 2022年4月7日 GitHub Blog 「Achieving SLSA 3 Compliance with GitHub Actions and Sigstore for Go modules」https://github.blog/2022-04-07-slsa-3-compliance-with-github-actions • The United States Department of Commerce 「 The Minimum Elements For a Software Bill of Materials (SBOM) 」 https://www.ntia.doc.gov/files/ntia/publications/sbom_minimum_elements_report.pdf • 2021年6月16日 Google Security Blog 「Introducing SLSA, an End-to-End Framework for Supply Chain Integrity」 https://security.googleblog.com/2021/06/introducing-slsa-end-to-end-framework.html