SLSA

セキュリティ強化

ソフトウェアサプライチェーンの安全確保: SLSA入門

- ソフトウェアサプライチェーンにおける脅威の増加 近年のソフトウェア開発では、開発期間の短縮やコスト削減のために、オープンソースソフトウェア(OSS)や外部のライブラリを積極的に利用するのが一般的になっています。誰もが無料で使える便利なソフトウェアや、高度な機能を持つプログラム部品が簡単に手に入るようになったことは、ソフトウェア開発の進化に大きく貢献しました。 しかし、その一方で、こうした外部からソフトウェアを取り込む開発スタイルは、セキュリティ上の新たなリスクを生み出しています。外部のソフトウェアは、開発元が明確でない場合や、セキュリティ対策が不十分な場合があり、悪意のある第三者による改ざんや攻撃の対象となる可能性があります。もし、開発したソフトウェアに脆弱性を含むOSSが使われていた場合、そのソフトウェアを利用するユーザー全体に被害が及ぶ可能性もあるのです。 実際に、SolarWinds社やCodeCov社など、世界的に有名な企業がソフトウェアサプライチェーン攻撃の被害にあっています。これらの事件では、開発元が気づかないうちに、悪意のあるコードがソフトウェアに埋め込まれ、それが最終製品に混入してしまい、多くの企業や組織に影響が及ぶという、大きな被害が発生しました。 このようなソフトウェアサプライチェーン攻撃の脅威が増大していることを踏まえ、ソフトウェア開発企業は、自社で開発するソフトウェアだけでなく、そのソフトウェアに含まれるあらゆる部品や、開発に関わる全てのプロセスにおいて、セキュリティ対策を徹底する必要があると言えるでしょう。