ソフトウェア・サプライチェーンとは【用語集詳細】
ソフトウェア・サプライチェーン(Software Supply Chain)は、ソフトウェア開発ライフサイクルに関わる要素と、その相互依存関係の総称です。
具体的には、開発環境・プロセス、OS、ハードウェア、クラウドサービス、コードベース、オープンソース・プロジェクト、リポジトリ、コード署名、保守やアップデートなどが該当します。
ソフトウェア・サプライチェーンは非常に複雑な相互依存関係に基づいた入れ子構造を形成しており、また要素の数も多く捕捉や把握には労力を要します。
近年は、このソフトウェア・サプライチェーンが、サイバー攻撃を許すアタックサーフェスとなっています。
- ソフトウェア・サプライチェーンに起因する重大なリスクとしては、ライブラリの脆弱性があり、log4shellが有名です。
- ソフトウェア・サプライチェーンを通じて侵入した大規模なサイバー攻撃としてSolarwindsハッキングがあります。
- ソフトウェア開発において多用されるnpmやpypiといった公開リポジトリは、しばしば攻撃に悪用されています。
ソフトウェア・サプライチェーンのセキュリティ対策として、米国・EUを含む各国政府やIT業界が、SBOMの普及を推進しています。
他に、オープンソースプロジェクトの脆弱性を管理するフレームワークであるGoogle OSVプロジェクト等も存在します。