「特にソフトウェア開発の現場において、クラウドを活用しながら開発ライフサイクルを高速で回していく開発手法が定着する中で、いかにスピード感を維持しながらサプライチェーン問題に対応するかは、CISOにとって間違いなく最優先課題だ。2022年はさらに多くの企業がこの問題の対策に本腰を入れることになる」(シュミット氏)
「物理世界のサプライチェーンでは製品の構成部品を管理する方法が確立しているが、デジタル世界はまだ洗練されておらず、普及/定着していないのが現状。2022年はこの領域でより一層の取り組みが進むとみられる」(シュミット氏) しかし1999年創業の同社であれば、20年近く前のコードやライブラリを使い回している可能性も高く、SBOM作成はかなり厄介だろうとシュミット氏は言う。「ソフトウェアコンポジション解析ツールなどをうまく活かしながら、構成要素をすべて棚卸ししてリスクを検証し、問題のあるコンポーネントの利用有無を判断していくことになるだろう」(シュミット氏)。「開発環境はここ5~10年で劇的に変化し、ウォーターフォール型開発からDevOpsやアジャイル開発へと着実に移行している。これと同様に、セキュリティテストもリリース前に1回実施するのではなく、開発ライフサイクルの各フェーズで実施するよう組み替える必要がある。『電車が一駅走るたびに点検しろと言うのか』と批判されるかもしれないが、そうではない。コードがチェックインされるたびに情報を取得し、ビルドのたびに優先順位に基づいた実行可能な対策を提供する仕組みであれば、開発スピードを損なうこともない」(シュミット氏)シノプシスでは、ソフトウェアの開発工程でどれだけセキュリティ対策を実施しているのか、その行動を成熟度に基づいて定量的に評価するフレームワーク「BSIMM
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。