Aqua Security は Center for Internet Security と提携して、ソフトウェア サプライ チェーンにおけるセキュリティのファースト ガイドを発表します。 Chain-Bench は、ソフトウェア サプライ チェーンを検証してこれらの新しい CIS ガイドラインへの準拠を保証する最初のオープン ソース ツールです。
クラウド ネイティブ セキュリティのリーダーであり、Center for Internet Security (CIS) である Aqua Security は本日、ソフトウェア サプライ チェーン セキュリティに関する業界初の正式なガイドラインをリリースしました。 CIS は、接続された世界でより多くの信頼を生み出すことに専念する独立した非営利団体です。 100 つの組織が共同で開発した CIS ソフトウェア サプライ チェーン セキュリティ ガイドには、一般的に使用されるさまざまなテクノロジやプラットフォームに適用できる XNUMX を超える重要な推奨事項が記載されています。 さらに、Aqua は Security Chain-Bench を導入しました。これは、ソフトウェア サプライ チェーンを監査して新しいガイドラインへの準拠を確認する最初のツールです。
ソフトウェア サプライ チェーンにおけるセキュリティのベスト プラクティス
ソフトウェア サプライ チェーンに対する脅威は増加し続けていますが、開発環境のセキュリティにはまだ改善が必要であることを多くの調査が示しています。 CIS の新しいガイドラインは、ソフトウェア アーティファクトのサプライ チェーン レベル (SLSA) や更新フレームワーク (TUF) などの重要な新しい標準をサポートする一般的なベスト プラクティスを確立します。 同時に、ガイドラインは、ベンチマークでサポートされているプラットフォームで構成を定義およびテストするための基本的な推奨事項を提供します。
ガイド内の推奨事項は、ソフトウェア サプライ チェーンの XNUMX つのカテゴリをカバーしています。 これには、ソース コード、ビルド パイプライン、依存関係、アーティファクト、およびデプロイが含まれます。 CIS は、このガイドを拡張して、より具体的な CIS ベンチマークを含め、プラットフォーム全体で一貫したセキュリティの推奨事項を作成する予定です。 すべての CIS ガイダンスと同様に、このガイダンスは世界中で公開され、レビューされます。 フィードバックは、将来のプラットフォーム固有のガイダンスが正確で適切であることを確認するのに役立ちます。
Chain Bench: オープンソースのセキュリティ ツール
企業が CIS ガイドラインを実装するのを支援するために、Aqua Security はオープン ソース ツールの Chain-Bench をリリースしました。 Chain-Bench は、ソース コードからデプロイまで DevOps スタックをスキャンし、セキュリティ規制、標準、および内部ポリシーへの準拠を簡素化して、チームがソフトウェア セキュリティ コントロールとベスト プラクティスを一貫して実装できるようにします。
「ソフトウェアを大規模に開発するには、ソフトウェア サプライ チェーンの強力なガバナンスが必要であり、強力なガバナンスには効果的なツールが必要です。 ここに付加価値の機会があると考えました」と Aqua Security の Argon Technology ディレクターである Eylam Milner 氏は述べています。 「私たちは、ソフトウェア サプライ チェーンのセキュリティに関する専門知識を活用して、業界で最も差し迫った課題の XNUMX つに不可欠なガイドを作成し、他の企業が準拠するのに役立つ無料のアクセス可能なツールを作成したいと考えていました。 しかし、仕事はここで終わりではありません。 CIS と協力してこのガイドを改良し、世界中の組織がより強力なセキュリティ慣行から利益を得ることができるようにします。」
CIS セキュリティ ガイド
CIS の Benchmarks Development Team Manager である Phil White は次のように述べています。 「ソフトウェア サプライ チェーンを構成するテクノロジとプラットフォームを扱うすべての対象分野の専門家は、さらなるベンチマークの開発に参加することをお勧めします。 彼らの専門知識は、すべての人にとってソフトウェア サプライ チェーンのセキュリティを向上させるための主要なベスト プラクティスを確立する上で価値があります。」
詳しくは Aquasec.com をご覧ください
アクアセキュリティについて Aqua Security は、最大の純粋なクラウド ネイティブ セキュリティ プロバイダーです。 Aqua は、デジタル トランスフォーメーションを革新し、加速する自由を顧客に提供します。 Aqua Platform は、アプリケーション ライフサイクル全体で防止、検出、および応答の自動化を提供し、デプロイされている場所に関係なく、サプライ チェーン、クラウド インフラストラクチャ、および進行中のワークロードを保護します。