序文

ソフトウェアコンポーネント検証標準 (SCVS) バージョン 1.0 へようこそ。 SCVS はアクティビティ、コントロール、およびベストプラクティスを特定するためのコミュニティ主導の取り組みであり、ソフトウェアサプライチェーンにおけるリスクの特定と削減に役立ちます。

ソフトウェアサプライチェーンのリスクを管理することは、エクスプロイトに対して脆弱なシステムの表面領域を減らすこと、および改善の障害となる技術的負債を測定することが重要です。

ソフトウェアサプライチェーン保証の測定および改善は成功に不可欠です。 サプライチェーンを可視化することで企業はブランドを保護し、信頼を高め、市場投入までの時間を短縮し、サプライチェーンインシデントが発生した場合のコストを管理できます。

ソフトウェアサプライチェーンには以下のものが関係しています。

• 技術

• 人

• プロセス

• 機関

• およびその他の要素

サプライチェーン保証の水準を高めるには、リスク管理者、ミッションオーナー、および法務や調達など、従来は技術的な実施に関与してこなかったビジネスユニットの積極的な参加が必要です。

リスク許容基準の決定はエンタープライズツールにより解決できる問題ではありません。 システム露出、規制要件、および財政的資源や人的資源の制約に基づいて、セキュリティ対策の利点とトレードオフを評価することはリスク管理者やビジネスの意思決定者の責任です。 内部的に達成不可能な義務や、開発や調達を停止させるような義務はそれ自体がセキュリティや制度上のリスクを構成しています。

SCVS は段階的に実施されるよう設計されており、組織が時間の経過とともにさまざまなレベルでのコントロールを段階的に行えるようになっています。

\newpage