【訳】
ソフトウェアサプライチェーンの安全性確保 開発者向け推奨プラクティスガイド
【資料】
◆Securing the Software Supply Chain: Recommended Practices Guide for Developers (CISA, 2022/09/02)
[ソフトウェアサプライチェーンの安全性確保 開発者向け推奨プラクティスガイド]
https://www.cisa.gov/uscert/sites/default/files/publications/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_DEVELOPERS.PDF
【用語】
| 略語 | 意味 |
|---|---|
| API | アプリケーションプログラミングインタフェース |
| ASLR | アドレス空間レイアウトランダム化 |
| CI/CD | 継続的インテグレーション/継続的デリバリー(Continuous Integration/Continuous Delivery |
| CNSSI | 国家安全保障システム指令委員会 |
| CVE | Common Vulnerabilities and Exposures(共通脆弱性及び公開)。 |
| CVSS | 共通脆弱性採点システム |
| CWE | 共通脆弱性列挙システム(Common Weakness Enumeration |
| DAST | 動的アプリケーションセキュリティテスト |
| DLP | データ損失防止(DLP |
| DUNS | データ・ユニバーサル・ナンバー・システム |
| EO | エグゼクティブオーダー |
| EOL | エンドオブライフ |
| ESF | 不朽のセキュリティフレームワーク |
| FARS/DFARS | 連邦調達規則/国防連邦調達規則 |
| FedRAMP | 連邦リスクおよび認可管理プログラム(Federal Risk and Authorization Management Program |
| FIPS | 連邦情報プロセス標準 |
| HIPAA | 医療保険の相互運用性と説明責任に関する法律 |
| HSM | ハードウェア・セキュリティ・モジュール |
| HTTPS | ハイパーテキスト転送プロトコルセキュア |
| IAST | インタラクティブ・アプリケーション・セキュリティ・テスト |
| IDE | 統合開発環境 |
| LAN | ローカルエリアネットワーク |
| MFA | 多要素認証(Multi Factor Authentication |
| MITM | マン・イン・ザ・ミドル |
| ML | 機械語 |
| NIAP | 国家情報保証パートナーシップ |
| NIST | 米国国立標準技術研究所(US DOC) |
| NTIA | 米国電気通信情報局 (US DOC) |
| NVD | National Vulnerability Database (全米脆弱性データベース) |
| OpenSSF | オープンソースセキュリティ財団 |
| OSRB | オープンソースレビューボード |
| OSS | オープンソースソフトウェア |
| OWASP | Open Web Application Security Project(オープン・ウェブ・アプリケーション・セキュリティ・ プロジェクト |
| PO | 準備組織 |
| PS | ソフトウェアの保護 |
| PSIRT | 製品セキュリティ・インシデント対応チーム |
| PW | 保護されたソフトウェアを作成する |
| QA | 品質保証 |
| RACI | 責任ある、説明可能な、相談された、情報を与えられた |
| RASP | ランタイムアプリケーションセルフプロテクション |
| RM | リスクマネジメント |
| ROP | リターン指向プログラミング(Return-oriented Programming |
| RV | 脆弱性への対応 |
| SaaS | サービスとしてのソフトウェア |
| SAST | 静的アプリケーション・セキュリティ・テスト |
| SBOM | ソフトウェア部品表 |
| SCA | ソフトウェア構成分析 |
| SCM | サプライチェーンマネジメント |
| SCM | ソースコード管理 |
| SCRM | サプライチェーンリスクマネジメント |
| SCVS | ソフトウェア部品検証規格 |
| SDLC | ソフトウェア開発ライフサイクル |
| SEH | ソフトウェア例外ハンドラ |
| SHA | セキュアハッシュアルゴリズム |
| SIEM | セキュリティ情報及びイベント管理 |
| SLSA | ソフトウェア成果物に関するサプライチェーンレベル |
| SOUP | 経歴不明ソフトウェア(Software of Unknown Provenance |
| SOX | サーベンス・オクスリー法 |
| SPDX | ソフトウェアパッケージデータエクスチェンジ |
| SSDF | セキュアソフトウェア開発フレームワーク |
| SSH | ソケットシェル |
| SwA | ソフトウェア保証 |
| SWID | ソフトウェア識別 |
| TLS | トランスポートレイヤーセキュリティ |
| TSA | タイムスタンプ |
| UML | ユニファイド・モデリング言語 |
| VAR | 付加価値再販業者 |
| VCS | バージョン管理システム |
| VM | 仮想マシン |
| VPN | 仮想プライベートネットワーク |
【関連情報】
◆米国当局がサプライチェーンの安全ガイダンス公開、サプライヤーは確認を (マイナビニュース, 2022/09/05 10:47)
https://news.mynavi.jp/techplus/article/20220905-2445286/
⇒ https://security-log.hatenablog.com/entry/2022/09/05/000000
【関連まとめ記事】
◆ガイダンス (まとめ)
https://security-log.hatenablog.com/entry/Guidance
◆CISA (まとめ)
https://security-log.hatenablog.com/entry/CISA
