V7. 依存関係とコンポーネント (Dependency and Component)

管理目標

サプライチェーンリスクを軽減するために、サードパーティのコンポーネントや依存関係が安全に処理されることを確保します。

#
要件
L1
L2
L3

7.1

ソフトウェア構成分析 (Software Composition Analysis, SCA) ツールを使用して、LLM を搭載したアプリケーションで使用されるサードパーティコンポーネント内の既知の脆弱性を特定して修正します。

7.2

すべてのサードパーティ LLM コンポーネントが信頼できるソースから取得されることを確保します。

7.3

サードパーティコンポーネントについて定義された脆弱性とパッチマネジメントプロセスが存在することを確保します。

7.4

サードパーティコンポーネント、ライセンス、バージョンをカタログ化したソフトウェア部品表 (Software Bill of Materials, SBOM) が存在することを確保します。

7.5

安全でない PyTorch モデルが必要な場合は、危険な Python インポートがないか、モデルがスキャンされることを確保します。

7.6

プライベートパッケージレジストリ内で LLM コンポーネントをホストする場合、そのセットアップが依存関係攪乱 (Dependency Confusion) 攻撃の影響を受けにくいことを確保します。

PreviousV6. エージェントとプラグイン (Agents and Plugins)NextV8. 監視と異常検出 (Monitoring and Anomaly Detection)

Last updated