サイバー攻撃への対策は自社だけで完結しない時代だ。ソフトウェアサプライチェーンの安全性を高めるために有効な「DevSecOps」や「シフトレフト」を実現するには具体的にどう進めればいいのか。DevOpsのセミナーからその答えを探る。
ソフトウェアサプライチェーンを狙った攻撃が深刻化している。特に、オープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性を狙った攻撃が増えている。そのため、「SBOM」(ソフトウェア部品表)を使ってOSSを管理する動きも進んでいるが、まだ十分とはいえない。
コンテナを狙った攻撃もある。脆弱性を含むコンテナイメージの配布、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインやコンテナリポジトリへの侵入、改ざん、Kubernetesクラスタの認証情報の窃取など、その手口も巧妙だ。
「ソフトウェアサプライチェーン攻撃」で厄介なのは、攻撃の手法や対象が多岐にわたることだ。ソースコード解析による診断や外部からの侵入テストなど従来のセキュリティ対策では不十分になってきている。
こうした課題の解決に有効な取り組みとして「DevSecOps」や「シフトレフト」が注目されている。本稿では、SB C&SのDevOps Hubが開催したオンラインセミナーから、そうした取り組みの具体的な進め方について探る。
提供:SB C&S株式会社、レッドハット株式会社、JFrog Japan株式会社
アイティメディア営業企画/制作:アイティメディア編集局
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。