Tanzu Application Platform の提供するソフトウェアサプライチェーンのセキュリティ
ソフトウェアサプライチェーンに対する攻撃の脅威 はじめに クラウドネイティブな環境において、ソフトウェアサプライチェーンのセキュリティが注目されています。クラウドネイティブアプリケーションは多くのオープンソースを活用し、ライフサイクルが短く、従来のセキュリティアプローチでは対策が難しいためです。State of the Software Supply Chain Report によれば、ソフトウェアサプライチェーンを標的にしたサイバー攻撃は年間平均で742%増加していると指摘されています。 一方で、クラウドネイティブ環境ではサービス展開のスピードが重要視されています。セキュリティ対策が開発スピードを遅らせたり、クラウド上の運用を困難にすることを避ける必要があります。一般的にセキュリティとスピードは相反すると見られることがありますが、両立させることは可能です。 そのためには、開発者中心のアプローチでセキュリティ対策を設計・実装し、セキュリティとスピードを両立することが大切です。技術的な対策に加え、組織の観点からもクラウドネイティブな環境を維持する取り組みが求められています。このブログでは、ソフトウェアサプライチェーンのセキュリティについて、VMware Tanzu Application Platform (以下 TAP )を用いたアプローチについて紹介していきます。 ソフトウェアサプライチェーンに対する攻撃の脅威 ソフトウェアサプライチェーンには、ソフトウェアの開発からデプロイメント(展開)までの複数のステップが組み込まれています。開発者がソースコードを作成し、テストしてから、ビルド、パッケージ化、そして最終的にサービスとして提供されます。この過程では、ソフトウェアに含まれるコンポーネントや依存関係を含めて、セキュリティや品質を管理します。 悪意のあるコードの侵入や脆弱性のリスクを最小限に抑えるために、ソフトウェアサプライチェーンのセキュリティが重要です。サードパーティ製のライブラリやコンポーネントの使用、ソースコードの信頼性、デプロイメントプロセスのセキュリティなど、多くの要素がセキュリティに影響を与えます。 ソフトウェアサプライチェーンと各フェーズに潜むリスク こうしたリスクに対応するため、SLSA やCIS Software...
