Sorry, not available in this language yet
サードパーティのソフトウェアへの依存度が高い場合でも、ソフトウェアがセキュリティ要件を満たし、コンプライアンス要件を遵守し、顧客データを保護していることを確認する責任があります。
ベンダー向けの縮約版BSIMMであるvBSIMMを以前に発表しましたが、このたびは最新版の BSIMMscを発表しました。BSIMMscは、ソフトウェア・サプライチェーンのリスク管理戦略の一環として活用できる一連のアクティビティを示します。BSIMMscにより、サプライヤーのソフトウェア開発プロセス内のソフトウェア・セキュリティ機能を測定できます。
BSIMM9には、サードパーティ・ベンダーに関連するソフトウェア・セキュリティ・リスクを制御するための具体的な5つのアクティビティ(全116中)が含まれます。これらは、サードパーティ・ソフトウェアを購入するすべての企業によって実行されるべきアクティビティであるため、重要です。
サードパーティ・ソフトウェア(カスタム、商用オフザシェルフ、オープンソース、またはその中間製品)を購入するすべての企業は、各サプライヤーに関連するこれらの5つのアクティビティをどれぐらい効果的に実行しているかを測定する必要があります。
BSIMMscは以下のBSIMMアクティビティで構成されます。
BSIMMプラクティス |
特定と対応 |
統合とガバナンス |
深度と自動化 |
戦略と指標 |
SM1.4 |
SM2.2 |
|
コンプライアンスとポリシー |
CP1.3 |
|
|
トレーニング |
T1.5 |
|
|
標準と要件 |
SR2.4 |
|
|
アーキテクチャ分析 |
AA1.4 |
AA1.1 |
AA1.2 |
コード・レビュー |
CR2.7 |
CR1.2 |
CR1.4 |
セキュリティ・テスト |
ST1.1 |
ST1.3 |
ST2.1、ST2.6 |
ペネトレーション・テスト |
PT1.1 |
PT1.2 |
PT1.3 |
ソフトウェア環境 |
SE3.6 |
|
|
構成 管理 と脆弱性 管理 |
CMVM1.1 |
CMVM1.2 |
CMVM2.2 |
モデルを用いてソフトウェア・サプライヤーのソフトウェア・セキュリティの成熟度を評価します。
ソフトウェア自体のリスクのランク付けとベンダー評価の結果に基づいて、ソフトウェアをテストできます。必要に応じて、静的解析(SAST)、ペネトレーション・テスト、アーキテクチャ・リスク分析、動的アプリケーション・セキュリティ・テスト(DAST)、ファジングなどのアプローチを利用できます。