TT Security Log

セキュリティ一般に関する「個人」の調査・研究・参照ログ (政府動向・仮想通貨など)

Securing the Software Supply Chain: Recommended Practices Guide for Developers

【訳】

ソフトウェアサプライチェーンの安全性確保 開発者向け推奨プラクティスガイド


【資料】

◆Securing the Software Supply Chain: Recommended Practices Guide for Developers (CISA, 2022/09/02)
[ソフトウェアサプライチェーンの安全性確保 開発者向け推奨プラクティスガイド]
https://www.cisa.gov/uscert/sites/default/files/publications/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_DEVELOPERS.PDF


【用語】

略語 意味
API アプリケーションプログラミングインタフェース
ASLR アドレス空間レイアウトランダム化
CI/CD 継続的インテグレーション/継続的デリバリー(Continuous Integration/Continuous Delivery
CNSSI 国家安全保障システム指令委員会
CVE Common Vulnerabilities and Exposures(共通脆弱性及び公開)。
CVSS 共通脆弱性採点システム
CWE 共通脆弱性列挙システム(Common Weakness Enumeration
DAST 動的アプリケーションセキュリティテスト
DLP データ損失防止(DLP
DUNS データ・ユニバーサル・ナンバー・システム
EO エグゼクティブオーダー
EOL エンドオブライフ
ESF 不朽のセキュリティフレームワーク
FARS/DFARS 連邦調達規則/国防連邦調達規則
FedRAMP 連邦リスクおよび認可管理プログラム(Federal Risk and Authorization Management Program
FIPS 連邦情報プロセス標準
HIPAA 医療保険の相互運用性と説明責任に関する法律
HSM ハードウェア・セキュリティ・モジュール
HTTPS ハイパーテキスト転送プロトコルセキュア
IAST インタラクティブ・アプリケーション・セキュリティ・テスト
IDE 統合開発環境
LAN ローカルエリアネットワーク
MFA 多要素認証(Multi Factor Authentication
MITM マン・イン・ザ・ミドル
ML 機械語
NIAP 国家情報保証パートナーシップ
NIST 米国国立標準技術研究所(US DOC)
NTIA 米国電気通信情報局 (US DOC)
NVD National Vulnerability Database (全米脆弱性データベース)
OpenSSF オープンソースセキュリティ財団
OSRB オープンソースレビューボード
OSS オープンソースソフトウェア
OWASP Open Web Application Security Project(オープン・ウェブ・アプリケーション・セキュリティ・ プロジェクト
PO 準備組織
PS ソフトウェアの保護
PSIRT 製品セキュリティ・インシデント対応チーム
PW 保護されたソフトウェアを作成する
QA 品質保証
RACI 責任ある、説明可能な、相談された、情報を与えられた
RASP ランタイムアプリケーションセルフプロテクション
RM リスクマネジメント
ROP リターン指向プログラミング(Return-oriented Programming
RV 脆弱性への対応
SaaS サービスとしてのソフトウェア
SAST 静的アプリケーション・セキュリティ・テスト
SBOM ソフトウェア部品表
SCA ソフトウェア構成分析
SCM サプライチェーンマネジメント
SCM ソースコード管理
SCRM サプライチェーンリスクマネジメント
SCVS ソフトウェア部品検証規格
SDLC ソフトウェア開発ライフサイクル
SEH ソフトウェア例外ハンドラ
SHA セキュアハッシュアルゴリズム
SIEM セキュリティ情報及びイベント管理
SLSA ソフトウェア成果物に関するサプライチェーンレベル
SOUP 経歴不明ソフトウェア(Software of Unknown Provenance
SOX サーベンス・オクスリー法
SPDX ソフトウェアパッケージデータエクスチェンジ
SSDF セキュアソフトウェア開発フレームワーク
SSH ソケットシェル
SwA ソフトウェア保証
SWID ソフトウェア識別
TLS トランスポートレイヤーセキュリティ
TSA タイムスタンプ
UML ユニファイド・モデリング言語
VAR 付加価値再販業者
VCS バージョン管理システム
VM 仮想マシン
VPN 仮想プライベートネットワーク


【関連情報】

◆米国当局がサプライチェーンの安全ガイダンス公開、サプライヤーは確認を (マイナビニュース, 2022/09/05 10:47)
https://news.mynavi.jp/techplus/article/20220905-2445286/
https://security-log.hatenablog.com/entry/2022/09/05/000000


【関連まとめ記事】

全体まとめ

◆ガイダンス (まとめ)
https://security-log.hatenablog.com/entry/Guidance