米政府、ソフトウェアサプライチェーン保護のガイダンスを公開
米政府は、ソフトウェアサプライチェーンにおいてカスタマーにおけるセキュリティ対策を示したガイダンスを公開した。開発者、サプライヤー向けのガイダンスも用意されている。
米国土安全保障省のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米国家安全保障局(NSA)、米国家情報長官室(ODNI)が共同でリリースしたもの。資料はPDFにより提供されており、誰でもダウンロードすることができる。
同資料は、ソフトウェアサプライチェーンにおいて推奨されるプラクティスを示したガイダンス。「Apache Log4j」や「SolarWinds」などサプライチェーンを狙うサイバー攻撃が目立っていることから、推奨される対策などを示した。
全3部構成で、8月から10月にかけて開発者やサプライヤー向けにガイダンスを公開しており、今回リリースしたカスタマー向けのガイダンスによってシリーズが出揃った。
カスタマー向けのガイダンスでは、ソフトウェアの調達や展開時において、ソフトウェアの整合性やセキュリティを確保する上で推奨される対策を示しており、ファクトシートも付属している。
(Security NEXT - 2022/11/28 )
ツイート
関連リンク
- CISA:Securing Software Supply Chain Series - Recommended Practices Guide for Developers
- CISA:Securing Software Supply Chain Series - Recommended Practices Guide for suppliers
- CISA:Securing Software Supply Chain Series - Recommended Practices Guide for Customers
- 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)
- 米国家安全保障局
- 米国家情報長官室
PR
関連記事
問合管理システムがランサム被害、学習システムなどは影響なし - CKCグループ
クラファン支援者情報が流出の可能性 - 横浜DeNAベイスターズ
委託業者が患者情報含む診断用機器を紛失 - 東邦大大森病院
市教委、保護者向けの案内メールで誤送信 - 佐渡市
Ubiquiti製ネットワーク機器の「UniFi OS」にクリティカル脆弱性
「Google Cloud Apigee」にSSRF脆弱性 - トークン漏洩のおそれ
「IBM ELM」の基盤コンポーネントに脆弱性 - 修正パッチをリリース
「浜名湖花博2024」ドメイン、県管理外に - 旧リンク解除呼びかけ
Veeamのバックアップ復旧製品に脆弱性 - 修正版が公開
複数ソフトが改ざん被害、正規ルートで汚染版が流通 - 米当局が注意喚起
