📗
owasp-llm-verification-standard-ja
  • OWASP Large Language Model Security Verification Standard ja
  • OWASP 大規模言語モデルセキュリティ検証標準 0.1 日本語版
    • OWASP 大規模言語モデルセキュリティ検証標準
    • リーダー
    • V1. 安全な構成と保守 (Secure Configuration and Maintenance)
    • V2. モデルのライフサイクル (Model Lifecycle)
    • V3. リアルタイム学習 (Real Time Learning)
    • V4. モデルのメモリとストレージ (Model Memory and Storage)
    • V5. 安全な LLM 統合 (Secure LLM Integration)
    • V6. エージェントとプラグイン (Agents and Plugins)
    • V7. 依存関係とコンポーネント (Dependency and Component)
    • V8. 監視と異常検出 (Monitoring and Anomaly Detection)
    • V9. モデルコンテキストプロトコル (MCP) セキュリティ (Model Context Protocol (MCP) Security)
Powered by GitBook
On this page
  1. OWASP 大規模言語モデルセキュリティ検証標準 0.1 日本語版

V7. 依存関係とコンポーネント (Dependency and Component)

管理目標

サプライチェーンリスクを軽減するために、サードパーティのコンポーネントや依存関係が安全に処理されることを確保します。

#
要件
L1
L2
L3

7.1

ソフトウェア構成分析 (Software Composition Analysis, SCA) ツールを使用して、LLM を搭載したアプリケーションで使用されるサードパーティコンポーネント内の既知の脆弱性を特定して修正します。

✓

✓

7.2

すべてのサードパーティ LLM コンポーネントが信頼できるソースから取得されることを確保します。

✓

✓

✓

7.3

サードパーティコンポーネントについて定義された脆弱性とパッチマネジメントプロセスが存在することを確保します。

✓

✓

7.4

サードパーティコンポーネント、ライセンス、バージョンをカタログ化したソフトウェア部品表 (Software Bill of Materials, SBOM) が存在することを確保します。

✓

✓

7.5

安全でない PyTorch モデルが必要な場合は、危険な Python インポートがないか、モデルがスキャンされることを確保します。

✓

✓

7.6

プライベートパッケージレジストリ内で LLM コンポーネントをホストする場合、そのセットアップが依存関係攪乱 (Dependency Confusion) 攻撃の影響を受けにくいことを確保します。

✓

✓

PreviousV6. エージェントとプラグイン (Agents and Plugins)NextV8. 監視と異常検出 (Monitoring and Anomaly Detection)

Last updated 1 year ago