• 2021年のLog4Shellリモートコード実行脆弱性は、ソフトウェア業界に供給チェーンセキュリティの重要性を認識させた。
  • Log4jパッケージは、依存関係が複数層にわたるため、開発者がそれに依存していることを常に把握していなかった。
  • 2023年後半には、38%のアプリケーションが脆弱なLog4jのバージョンを使用していることが判明。
  • 米国政府はソフトウェア生産者向けの枠組みやガイドラインの開発・推進を行い、企業が連邦機関で使用する前に満たす必要がある規定を設定中。
  • Secure Software Development Attestation Formでは、セキュアな開発要件を満たすことを自己申告する必要があり、2024年9月11日まで提出期限。
  • フォームの完了だけでなく、セキュリティベストプラクティスをソフトウェア開発に統合するための手順がある。

自己申告書の提出には証明責任は必要ないが、誤解を招くか虚偽の情報を提供することは犯罪となる。セキュアなソフトウェア開発に対する取り組みを示すためには常に証拠が必要。

ソフトウェア保護の向上は正しい方向に進む一歩であり、SSDAFはその一環。組織はそれ以上を目指すべきであり、「Software Supply Chain Best Practices」ホワイトペーパーが追加の考慮事項をカバー。

オープンソースソフトウェアについてはSSDAFの対象外であるが、全体のソフトウェア供給チェーンの重要な部分。Linux Foundationの調査によると、FOSSは今日のソフトウェアの70%-90%を占める。FOSSに貢献することで、組織を支援できる。

元記事: https://www.nextgov.com/ideas/2024/06/meeting-federal-software-supply-chain-mandates/397386/