米国 NIST SP 800-204D DevSecOps CI/CD パイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略

こんにちは、丸山満彦です。

NISTが、DevSecOpsの継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略に関する文書、NIST SP 800-204Dを公表しています。。。

ドラフトの時にも感じたのですが、この文書は難しいですね。。。

 

● NIST - ITL

・2024.02.12 Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D

Integrating Software Supply Chain Security in DevSecOps CI/CD Pipelines | NIST Publishes SP 800-204D	DevSecOpsのCI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合する｜NIST、SP 800-204Dを発表
Today, NIST is releasing Special Publication (SP) 800-204D, Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines.	本日、NISTは特別刊行物（SP）800-204D「Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines」を公開する。
Cloud-native applications are made up of multiple loosely coupled components called microservices. This class of applications is generally developed through an agile software development life cycle (SDLC) paradigm called DevSecOps, which uses flow processes called continuous integration/continuous delivery (CI/CD) pipelines. Analyses of recent software attacks and vulnerabilities have led both government and private-sector organizations to focus on the activities involved in the entire SDLC. The collection of these activities is called the software supply chain (SSC). The integrity of these individual activities contributes to the overall security of an SSC. Threats can arise from attack vectors unleashed by malicious actors during SSC activities, as well as defects introduced when due diligence practices are not followed by legitimate actors during the SDLC.	クラウドネイティブなアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネントで構成されている。このクラスのアプリケーションは、一般的にDevSecOpsと呼ばれるアジャイルソフトウェア開発ライフサイクル（SDLC）パラダイムを通じて開発され、継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインと呼ばれるフロープロセスを使用する。最近のソフトウェア攻撃と脆弱性の分析によって、政府と民間の両方の組織が SDLC 全体に関わる活動に注目するようになった。これらの活動の集合体は、ソフトウェアサプライチェーン（SSC）と呼ばれる。これらの個々の活動の完全性は、SSC 全体のセキュリティに貢献する。脅威は、SSC の活動中に悪意のある行為者によって放たれる攻撃ベクトルから、また、SDLC の間、正当な行為者によってデューディリジェンスの実践が守られなかったときにもたらされる欠陥から生じる可能性がある。
Executive Order (EO) 14028, NIST’s Secure Software Development Framework (SSDF), other government initiatives, and industry forums have discussed the security of SSCs and provided a roadmap to enhance the security of all deployed software. NIST SP 800-204D uses this roadmap as the basis for developing actionable measures to integrate the various building blocks of SSC security assurance into CI/CD pipelines to enhance organizations' preparedness to address SSC security in the development and deployment of cloud-native applications. To demonstrate that the SSC security integration strategies for CI/CD pipelines meet the objectives of SSDF, a mapping of these strategies to the high-level practices in the SSDF has also been provided.	大統領令（EO）14028、NIST のセキュアソフトウェア開発フレームワーク（SSDF）、他の政府のイニシアティブ、および業界のフォーラムは、SSC のセキュリティについて議論し、すべての配備されたソフトウェアのセキュリティを強化するためのロードマップを提供してきました。NIST SP 800-204D は、このロードマップを基にして、SSC セキュリティ保証のさまざまなビルディングブロックを CI/CD パイプラインに統合するための実行可能な対策を策定し、クラウドネイティブなアプリケーションの開発・展開における SSC セキュリティに対処するための組織の準備態勢を強化する。CI/CD パイプラインのための SSC セキュリティ統合戦略が SSDF の目的に合致していることを示すために、これらの戦略と SSDF のハイレベルプラクティスとのマッピングも提供されている。

 

・2024.02.12 NIST SP 800-204D Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines

NIST SP 800-204D Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines	NIST SP 800-204D DevSecOps CI/CD パイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略
Abstract	概要
The predominant application architecture for cloud-native applications consists of multiple microservices, accompanied in some instances by a centralized application infrastructure, such as a service mesh, that provides all application services. This class of applications is generally developed using a flexible and agile software development paradigm called DevSecOps. A salient feature of this paradigm is the use of flow processes called continuous integration and continuous deployment (CI/CD) pipelines, which initially take the software through various stages (e.g., build, test, package, and deploy) in the form of source code through operations that constitute the software supply chain (SSC) in orde・r to deliver a new version of software. This document outlines strategies for integrating SSC security measures into CI/CD pipelines.	クラウドネイティブアプリケーションの主なアプリケーションアーキテクチャは、複数のマイクロサービスで構成され、場合によっては、すべてのアプリケーションサービスを提供するサービスメッシュのような集中型のアプリケーションインフラストラクチャが付随する。このクラスのアプリケーションは一般的に、DevSecOpsと呼ばれる柔軟でアジャイルなソフトウェア開発パラダイムを使用して開発される。このパラダイムの顕著な特徴は、継続的インテグレーションと継続的デプロイメント（CI/CD）パイプラインと呼ばれるフロープロセスを使用することである。このパイプラインは、新しいバージョンのソフトウェアを提供するために、最初にソースコードの形で、ソフトウェアサプライチェーン（SSC）を構成するオペレーションを通じて、様々なステージ（例えば、ビルド、テスト、パッケージ、デプロイ）を経てソフトウェアを提供する。この文書では、SSC のセキュリティ対策を CI/CD パイプラインに統合するための戦略を概説する。

 

・[PSD] SP 800-204D

・[DOCX] 仮訳

 

目次...

Executive Summary	エグゼクティブ・サマリー
1. Introduction	1. はじめに
1.1. Purpose	1.1. 目的
1.2. Scope	1.2. 適用範囲
1.3. Target Audience	1.3. 想定読者
1.4. Relationship to Other NIST Documents	1.4. 他のNIST文書との関係
1.5. Document Structure	1.5. 文書の構造
2. Software Supply Chain (SSC) — Definition and Model	2. ソフトウェア・サプライ・チェーン（SSC） - 定義とモデル
2.1. Definition	2.1. 定義
2.2. Economics of Security	2.2. セキュリティの経済性
2.3. Governance Model	2.3. ガバナンス・モデル
2.4. SSC Model	2.4. SSCモデル
2.4.1. Software Supply Chain Defects	2.4.1. ソフトウェア・サプライチェーンの欠陥
2.4.2. Software Supply Chain Attacks	2.4.2. ソフトウェアサプライチェーン攻撃
3. SSC Security — Risk Factors and Mitigation Measures	3. 新生サービサーのセキュリティ-リスク要因と軽減策
3.1. Risk Factors, Targets, and Types of Exploits in an SSC	3.1. SSC におけるリスク要因、標的、およびエクスプロイトの種類
3.1.1. Developer Environment	3.1.1. 開発者環境
3.1.2. Threat Actors	3.1.2. 脅威の主体
3.1.3. Attack Vectors	3.1.3. 攻撃ベクトル
3.1.4. Attack Targets (Assets)	3.1.4. 攻撃目標（資産）
3.1.5. Types of Exploits	3.1.5. エクスプロイトの種類
3.2. Mitigation Measures	3.2. 緩和策
3.2.1. Baseline Security	3.2.1. ベースライン・セキュリティ
3.2.2. Controls for Interacting With SCM Systems	3.2.2. SCMシステムとの対話のためのコントロール
4. CI/CD Pipelines — Background, Security Goals, and Entities to be Trusted	4. CI/CDパイプライン - 背景、セキュリティ目標、信頼されるべきエンティティ
4.1. Broad Security Goals for CI/CD Pipelines	4.1. CI/CDパイプラインの大まかなセキュリティ目標
4.2. Entities That Need Trust in CI/CD Pipelines — Artifacts and Repositories	4.2. CI/CDパイプラインで信頼が必要なエンティティ - 中間品とリポジトリ
5. Integrating SSC Security Into CI/CD Pipelines	5. SSCセキュリティをCI/CDパイプラインに組み込む
5.1. Securing Workflows in CI Pipelines	5.1. CIパイプラインでワークフローを保護する
5.1.1. Secure Build	5.1.1. セキュア・ビルド
5.1.2. Secure Pull-Push Operations on Repositories	5.1.2. リポジトリに対する安全なプル・プッシュ操作
5.1.3. Integrity of Evidence Generation During Software Updates	5.1.3. ソフトウェア更新時の証拠生成の完全性
5.1.4. Secure Code Commits	5.1.4. 安全なコード・コミット
5.2. Securing Workflows in CD Pipelines	5.2. CDパイプラインのワークフローを保護する
5.2.1. Secure CD Pipeline — Case Study (GitOps)	5.2.1. セキュアなCDパイプライン - ケーススタディ（GitOps）
5.3. SSC Security for CI/CD Pipelines — Implementation Strategy	5.3. CI/CDパイプラインのためのSSCセキュリティ - 実装戦略
6. Summary and Conclusions	6. まとめと結論
References	参考文献
Appendix A. Mapping of Recommended Security Tasks in CI/CD Pipelines to Recommended High-Level Practices in SSDF	附属書A. CI/CD パイプラインで推奨されるセキュリティタスクと、SSDF で推奨されるハイレベルプラクティスとのマッピング
Appendix B. Justification for the Omission of Certain Measures Related to SSDF Practices in This Document	附属書B. 本文書においてSSDFの実施に関連する特定の措置が省略されている正当な理由

 

ソフトウェア・サプライ・チェーン（SSC）の各要素間の相互作用^[1] ステップ^[2]

 

[1] 「アクター」とは、ビルド・オーケストレーターのような、人間以外の場合もある。

[2]　SSCステップはSSCアクティビティ（例えばビルド）を表す。

 

SP800-204シリーズ...

Release Date	Series	Number	Title	タイトル
2019.08.07	SP	800-204	Security Strategies for Microservices-based Application Systems	マイクロサービスベースのアプリケーションシステムのセキュリティ戦略
2020.05.27	SP	800-204A	Building Secure Microservices-based Applications Using Service-Mesh Architecture	サービスメッシュ・アーキテクチャを使用したセキュアなマイクロサービスベースのアプリケーションの構築
2021.08.06	SP	800-204B	Attribute-based Access Control for Microservices-based Applications using a Service Mesh	サービスメッシュを使用したマイクロサービスベースのアプリケーションのための属性ベースのアクセス制御
2022.03.08	SP	800-204C	Implementation of DevSecOps for a Microservices-based Application with Service Mesh	サービスメッシュを使ったマイクロサービスベースのアプリケーションのDevSecOpsの実装
2024.02.12	SP	800-204D	Strategies for the Integration of Software Supply Chain Security in DevSecOps CI/CD Pipelines	DevSecOps CI/CDパイプラインにおけるソフトウェアサプライチェーンセキュリティの統合戦略

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.01 NIST SP 800-204D（初期公開ドラフト）DevSecOps CI/CDパイプラインにソフトウェアサプライチェーンセキュリティを統合するための戦略

・2022.03.12 NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.10.01 NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.08.07 NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御