米政府、ソフトウェアサプライチェーン保護のガイダンスを公開
米政府は、ソフトウェアサプライチェーンにおいてカスタマーにおけるセキュリティ対策を示したガイダンスを公開した。開発者、サプライヤー向けのガイダンスも用意されている。
米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米国家安全保障局(NSA)、米国家情報長官室(ODNI)が共同でリリースしたもの。資料はPDFにより提供されており、誰でもダウンロードすることができる。
同資料は、ソフトウェアサプライチェーンにおいて推奨されるプラクティスを示したガイダンス。「Apache Log4j」や「SolarWinds」などサプライチェーンを狙うサイバー攻撃が目立っていることから、推奨される対策などを示した。
全3部構成で、8月から10月にかけて開発者やサプライヤー向けにガイダンスを公開しており、今回リリースしたカスタマー向けのガイダンスによってシリーズが出揃った。
カスタマー向けのガイダンスでは、ソフトウェアの調達や展開時において、ソフトウェアの整合性やセキュリティを確保する上で推奨される対策を示しており、ファクトシートも付属している。
(Security NEXT - 2022/11/28 )
ツイート
関連リンク
- CISA:Securing Software Supply Chain Series - Recommended Practices Guide for Developers
- CISA:Securing Software Supply Chain Series - Recommended Practices Guide for suppliers
- CISA:Securing Software Supply Chain Series - Recommended Practices Guide for Customers
- 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)
- 米国家安全保障局
- 米国家情報長官室
PR
関連記事
通販サイトに不正アクセスか、調査中 - アメニティメーカー
都民向け金融セミナーの申込サイトが一時消失 - 攻撃の痕跡も
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「IBM WebSphere Application Server」の管理画面に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
SnowflakeのPython向け開発フレームワークに脆弱性
「Cisco ISE」や「RoomOS」に脆弱性 - 7月15日に修正予定
クラウドPBXの管理画面に不正アクセス - CCアーキテクト
代理店に顧客の個人情報含むファイルを誤送信 - オリックス生命
