NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略
こんにちは、丸山満彦です。
DevSecOpsとCI/CDの統合...
難しいお題ですね。。。これ、、、、
あとで、ちょっと読んどこ...
● NIST - ITL
プレス...
発表...
| NIST SP 800-204D (Initial Public Draft) Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD pipelines | NIST SP 800-204D(初期公開ドラフト)DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略 |
| Announcement | 発表 |
| Cloud-native applications are made up of multiple loosely coupled components called microservices. This class of applications is generally developed through an agile software development life cycle (SDLC) paradigm called DevSecOps, which uses flow processes called continuous integration/continuous delivery (CI/CD) pipelines. Analyses of recent software attacks and vulnerabilities have led both government and private-sector organizations to focus on the activities involved in the entire SDLC. The collection of these activities is called the software supply chain (SSC). The integrity of these individual operations contributes to the overall security of an SSC, and threats can arise from attack vectors unleashed by malicious actors as well as defects introduced when due diligence practices are not followed during the SDLC. | クラウドネイティブアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されている。このクラスのアプリケーションは、一般的にDevSecOpsと呼ばれるアジャイルソフトウェア開発ライフサイクル(SDLC)パラダイムを通じて開発され、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインと呼ばれるフロープロセスを使用する。最近のソフトウェア攻撃と脆弱性の分析によって、政府と民間の両方の組織が SDLC 全体に関わる活動に注目するようになった。これらの活動の集合体は、ソフトウェアサプライチェーン(SSC)と呼ばれる。これらの個々の作業の完全性は、SSC の全体的なセキュリティに寄与し、脅威は、悪意のある行為者によって放たれた攻撃ベクトルや、SDLC の間にデューディリジェンスの実践が守られなかったときに導入された欠陥から生じる可能性があります。 |
| Executive Order (EO) 14028, NIST’s Secure Software Development Framework (SSDF), other government initiatives, and industry forums have addressed security assurance measures for SSCs to enhance the security of all deployed software. This document focuses on actionable measures to integrate the various building blocks of SSC security assurance into CI/CD pipelines to prepare organizations to address SSC security in the development and deployment of their cloud-native applications. | 大統領令(EO)14028、NIST のセキュアソフトウェア開発フレームワーク(SSDF)、他の政府のイニシアティブ、および、業界のフォーラムは、すべての配備されたソフトウェアのセキュリティを強化するために、SSC のセキュリティ保証対策に取り組んできました。この文書では、クラウドネイティブなアプリケーションの開発とデプロイメントにおいてSSCセキュリティに対応するための準備として、SSCセキュリティ保証のさまざまなビルディングブロックをCI/CDパイプラインに統合するための実行可能な対策に焦点を当てる。 |
| Abstract | 概要 |
| The predominant application architecture for cloud-native applications consists of multiple microservices with a centralized application infrastructure, such as a service mesh, that provides all application services. This class of applications is generally developed using a flexible and agile software development paradigm called DevSecOps. A salient feature of this paradigm is the use of flow processes called CI/CD pipelines, which initially take the software through various stages (e.g., build, test, package, and deploy) in the form of source code through operations that constitute the software supply chain (SSC). This document outlines strategies for integrating SSC security measures into CI/CD pipelines. | クラウドネイティブアプリケーションの主なアプリケーションアーキテクチャは、複数のマイクロサービスから構成され、すべてのアプリケーションサービスを提供するサービスメッシュのような集中型アプリケーションインフラストラクチャを備えている。このクラスのアプリケーションは一般的に、DevSecOpsと呼ばれる柔軟でアジャイルなソフトウェア開発パラダイムを使用して開発される。このパラダイムの顕著な特徴は、CI/CDパイプラインと呼ばれるフロープロセスを使用することである。このパイプラインは、まず、ソフトウェアサプライチェーン(SSC)を構成するオペレーションを通じて、ソースコードの形で、様々な段階(例えば、ビルド、テスト、パッケージ、デプロイ)を経てソフトウェアを完成させる。この文書では、SSC のセキュリティ対策を CI/CD パイプラインに組み込むための戦略を概説する。 |
・[PDF] NIST.SP.800-204D.ipd
| Executive Summary | 要旨 |
| 1. Introduction | 1. 序文 |
| 1.1. Purpose | 1.1. 目的 |
| 1.2. Scope | 1.2. 適用範囲 |
| 1.3. Target Audience | 1.3. 対象読者 |
| 1.4. Relationship to Other NIST Documents | 1.4. 他のNIST文書との関係 |
| 1.5. Document Structure | 1.5. 文書の構造 |
| 2. Software Supply Chain (SSC) — Definition and Model | 2. ソフトウェアサプライチェーン(SSC) - 定義とモデル |
| 2.1. Definition | 2.1. 定義 |
| 2.2. Economics of Security | 2.2. セキュリティの経済学 |
| 2.3. Governance Model | 2.3. ガバナンス・モデル |
| 2.4. SSC Model | 2.4. SSCモデル |
| 2.4.1. Software Supply Chain Defects | 2.4.1. ソフトウェア・サプライチェーンの欠陥 |
| 2.4.2. Software Supply Chain Attacks | 2.4.2. ソフトウェア・サプライチェーン攻撃 |
| 3 SSC Security — Risk Factors and Mitigation Measures | 3 SSC セキュリティ - リスク要因と低減対策 |
| 3.1. Risk Factors in an SSC | 3.1. SSC におけるリスク要因 |
| 3.1.1. Developer Environment | 3.1.1. 開発者の環境 |
| 3.1.2. Threat Actors | 3.1.2. 脅威行為者 |
| 3.1.3. Attack Vectors | 3.1.3. 攻撃ベクトル |
| 3.1.4. Attack Targets (Assets) | 3.1.4. 攻撃ターゲット(資産) |
| 3.1.5. Types of Exploits | 3.1.5. エクスプロイトの種類 |
| 3.2. Mitigation Measures | 3.2. 低減対策 |
| 3.2.1. Baseline Security | 3.2.1. ベースライン・セキュリティ |
| 3.2.2. Controls for Interacting With SCMs | 3.2.2. SCMと相互作用するためのコントロール |
| 4. CI/CD Pipelines — Background, Security Goals, and Entities to be Trusted | 4. CI/CDパイプライン - 背景、セキュリティ目標、信頼されるべき事業体 |
| 4.1. Broad Security Goals for CI/CD Pipelines | 4.1. CI/CDパイプラインの広範なセキュリティ目標 |
| 4.2. Entities That Need Trust in CI/CD Pipelines — Artifacts and Repositories | 4.2. CI/CDパイプラインで信頼が必要な事業体 - アーティファクトとリポジトリ |
| 5. Integrating SSC Security Into CI/CD Pipelines | 5. SSCのセキュリティをCI/CDパイプラインに組み込む |
| 5.1. Securing Workflows in CI Pipelines | 5.1. CIパイプラインにおけるワークフローのセキュリティ確保 |
| 5.1.1. Secure Build | 5.1.1. セキュアビルド |
| 5.1.2. Secure Pull-Push Operations on Repositories | 5.1.2. リポジトリに対する安全なプル・プッシュ操作 |
| 5.1.3. Integrity of Evidence Generation During Software Updates | 5.1.3. ソフトウェア更新時の証拠生成の完全性 |
| 5.1.4. Secure Code Commits | 5.1.4. 安全なコード・コミット |
| 5.2. Securing Workflows in CD Pipelines | 5.2. CDパイプラインにおけるワークフローの保護 |
| 5.2.1. Secure CD Pipeline — Case Study (GitOps) | 5.2.1. セキュアなCDパイプライン - ケーススタディ(GitOps) |
| 5.3. SSC Security for CI/CD Pipelines — Implementation Strategy | 5.3. CI/CDパイプラインのSSCセキュリティ - 実装戦略 |
| 6. Summary and Conclusions | 6. まとめと結論 |
| References | 参考文献 |
| Appendix A. Mapping of Recommended Security Tasks in CI/CD Pipelines to Recommended High-Level Practices in SSDF | 附属書A. CI/CD パイプラインで推奨されるセキュリティタスクと SSDF で推奨される高レベルの実施方法のマッピング |
| Appendix B. Justification for the Omission of Certain Measures Related to SSDF Practices in This Document | 附属書B. この文書では、SSDF の実施方法に関連する一部の対策を省略している。 |
エグゼクティブサマリー...
| Executive Summary | 要旨 |
| Cloud-native applications are made up of multiple loosely couple components called microservices. This class of applications is generally developed through an agile software development life cycle (SDLC) paradigm called DevSecOps, which uses flow processes called Continuous Integration/Continuous Delivery (CI/CD) pipelines. | クラウドネイティブアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されている。このクラスのアプリケーションは、一般に、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインと呼ばれるフロープロセスを使用する、DevSecOps と呼ばれるアジャイルソフトウェア開発ライフサイクル(SDLC)パラダイムを通じて開発される。 |
| Analyses of recent software attacks and vulnerabilities have led both government and privatesector organizations involved in software development, deployment, and integration to focus on the activities involved in the entire SDLC. These collected activities are called the software supply chain (SSC). | 最近のソフトウェア攻撃と脆弱性の分析により、ソフトウェア開発、デプロイメント、統合に関与する政府と民間の両方の組織が、SDLC 全体に関与する活動に注目するようになった。これらの収集された活動は、ソフトウェアサプライチェーン(SSC)と呼ばれる。 |
| The integrity of these individual operations contributes to the overall security of an SSC, and threats can arise from attack vectors unleashed by malicious actors as well as defects introduced when due diligence practices are not followed during SDLC. | これらの個々の作業の完全性は、SSC の全体的なセキュリティに寄与し、脅威は、悪意のある行為者が放つ攻撃ベクトルや、SDLC の間にデューディリジェンスの実践が守られていないときに導入される欠陥から生じる可能性がある。 |
| Executive Order (EO) 14028, NIST’s Secure Software Development Framework (SSDF)[2], other government initiatives, and industry forums have discussed the security of SSC to enhance the security of all deployed software. This document focuses on actionable measures to integrate the various building blocks of SSC security assurance into CI/CD pipelines to prepare organizations to address SSC security in the development and deployment of their cloud-native applications. | 大統領令(EO)14028、NIST のセキュアソフトウェア開発フレームワーク(SSDF)[2]、他の政府のイニシアティブ、および業界のフォーラムは、すべての配備されたソフトウェアのセキュリティを強化するために、SSC のセキュリティについて議論してきました。この文書では、クラウドネイティブなアプリケーションの開発とデプロイメントにおいて、組織がSSCセキュリティに対応できるように、SSCセキュリティ保証のさまざまなビルディングブロックをCI/CDパイプラインに統合するための実行可能な対策に焦点を当てる。 |
| Building a robust SSC security edifice requires various artifacts, such as a software bill of materials (SBOM) and frameworks for the attestation of software components. Since the specification of these artifacts, their mandatory constituents, and the requirements that processes using them must satisfy are continually evolving through projects in government organizations and various industry forums, they are beyond the scope of this document. | 堅牢な SSC セキュリティ基盤を構築するには、ソフトウェア部品表(SBOM)やソフトウ ェアコンポーネントの認証フレームワークなど、さまざまな成果物が必要である。これらの成果物の仕様、必須構成要素、及びそれらを使用するプロセスが満たすべき要件は、政府組織や様々な業界フォーラムにおけるプロジェクトを通じて継続的に進化しているため、本文書の範囲を超えている。 |
関連...
| 2019.08.07 | SP800-204 | Security Strategies for Microservices-based Application Systems | マイクロサービスベースのアプリケーションシステムのセキュリティ戦略 |
| 2020.05.27 | SP800-204A | Building Secure Microservices-based Applications Using Service-Mesh Architecture | サービス・メッシュ・アーキテクチャを用いたセキュアなマイクロサービス・ベースのアプリケーションの構築 |
| 2021.08.06 | SP800-204B | Attribute-based Access Control for Microservices-based Applications using a Service Mesh | サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースのアクセス制御 |
| 2022.03.08 | SP800-204C | Implementation of DevSecOps for a Microservices-based Application with Service Mesh | サービスメッシュを用いたマイクロサービスベースのアプリケーションに対するDevSecOpsの実装 |
| 2023.08.30 | SP800-204D | Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD pipelines | DevSecOps CI/CDパイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.03.12 NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施
・2021.10.01 NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施
・2021.08.07 NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御
・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御
・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ
« NIST SP 800-50 Rev. 1(初期公開ドラフト)サイバーセキュリティとプライバシーの学習プログラムの構築 | Main | Five Eyes Android 端末を標的とするInfamous Chisel マルウェアを利用するロシアの脅威行為者に関する報告書 »
Comments