妻と私の间には4人の子供がいるので、长年コストコでたくさんの买い物をしてきました。最初はおむつ、次にシリアル、その后は他のあらゆる种类の食べ物を购入し、6人家族に大きな倹约効果をもたらしました。
コストコは他にもたくさんの物を売っています、そしてどういうわけか、私はいつも、ガゼボ(西洋风东屋)、コーナーソファー、またはひと组のカヤックが欲しくなります。
この话の要点は、巨大な洞窟のような仓库の中ではすべてが実际よりも小さく见えるという「コストコ効果」をもたらすということです。私がそのガゼボを买ったとしても、自宅の里庭に収まらないでしょう。ソファを手に入れたら、居间に収めることはできるかもしれませんが、おそらく歩くスペースがなくなるでしょう。
コストコ効果はささやかな事例にも当てはまります。価格がお得だからといってトイレットペーパーを24ロール购入するのは、一见名案のようですが、それを保管するスペースはあるでしょうか?
ソフトウェア?サプライチェーンのセキュリティも同様です。话を闻いたり本で読んだりして、よく理解したつもりになったとしても、それを家に持ち帰って、自分の组织や独自のプロセスに适用しようとすると、思った以上に大きな课题であることに気付きます。
アイデアの段阶からユーザーの手元に届くまでの全工程がソフトウェア?サプライチェーンです。
サードパーティー製のコンポーネントがアプリケーションを組み立てるためのビルディング?ブロックとして使用される仕組みは誰もが理解しています。これらのコンポーネントは、ほとんどの場合、オープンソースのソフトウェアコンポーネントですが、サードパーティーの商用コンポーネントも使用されることがあります。これらのコンポーネントのセキュリティが、組み立てられたアプリケーションのセキュリティに直接影響することは明らかです。Black Duck?などのソフトウェア?コンポジション解析(厂颁础)ツールを使用することで、脆弱性とライセンスの両方の観点からコンポーネントの使用とリスクを管理することができます。
ただし、ソフトウェア?サプライチェーンのリスク管理では、コンポーネントの选択时にセキュリティを考虑する必要があります。开発チームは、新しい机能を开発する际に、アプリケーションに组み込むコンポーネントを选択する场合があります。开発プロセスには、开発チームが机能だけでなくリスクに基づいてコンポーネントを选択できるように、何らかの保护手段が必要です。
さらに、コンポーネントの出所を确认する必要があります。开発チームは、npmやMavenなどのコンポーネントを簡単に取得できるさまざまなパッケージ管理技術を用いています。これらのテクノロジーを信頼できますか? コンポーネントレポジトリが侵害された場合はどうなりますか? 手に入れたものが求めていたとおりの役割を果たすことをどうやって確認しますか? 包括的なセキュリティプロセスでこれらの質問に対処します。
ソフトウェア?サプライチェーンについて考えるときに見落としがちなもう1つのカテゴリは、ビルドツールです。これには、エディタ、プラグイン、コンパイラ、ユーティリティなど、开発チームがアプリケーションの構築に使用するツールが含まれます。例えば、航空機製造のサプライチェーンには、航空機に搭載される座席、エンジン、リベットなどの部品のほか、航空機の組み立て時に使用されるレンチ、リベットガン、足場などの工具も含まれます。
アプリケーションのデプロイもソフトウェア?サプライチェーンの一部です。今日では、多くのアプリケーションがコンテナにデプロイされているため、同じ质问がソフトウェア?サプライチェーンのセキュリティにも当てはまります。コンテナイメージの選択方法は? 実施した、または実施する必要があるリスク評価の種類は? コンテナイメージの出所も同様に重要です。リポジトリを信頼できますか?
ソフトウェア?サプライ?チェーンの范囲は思ったよりも膨大かもしれませんが、セキュリティへの包括的なアプローチで解决可能です。航空机の製造について语るとき、安全性の问题は切り离せません。设计上の决定や部品の选択など、航空机製造のあらゆる侧面の根底に安全性があります。同様に、セキュリティとソフトウェアは密接に络み合っています。アプリケーションの设计から実装、デプロイ、保守に至るまでの全段阶でセキュリティを组み込む必要があります。
ソフトウェア?サプライ?チェーンのリスク管理は困难ですが、重要な课题です。ソフトウェア?リスクはビジネス?リスクに直结します。ソフトウェア?サプライ?チェーンのリスクを缓和するための全体的なアプローチを採用することは、ソフトウェアに対する信頼を构筑する上で确実なメリットをもたらします。