監査と認定

SCVS 認定と認証マークに対する OWASP の見解

OWASP はベンダー中立の非営利組織であり、ベンダー、検証者、ソフトウェアの認定は行っていません。

そのような保証の表明、認証マーク、認定はいずれも OWASP によって公式に検査、登録、認定されたものではありません。 そのような見解に依存している組織は SCVS 認定を主張する第三者や認証マークについて、 その信頼性に注意する必要があります。

これは、OWASP の公式な認定であると主張しない限り、組織がこのような保証サービスを提供することを 妨げるものではありません。

ソフトウェアコンポーネントサプライチェーンの認定に関するガイダンス

ソフトウェアサプライチェーンの SCVS への準拠を検証するために推奨されている方法は「オープンブック」レビューを行うことです。 つまり、監査人には法務、調達、ビルドエンジニア、開発者、リポジトリ、ドキュメント、ソースコードのあるビルド環境などの主要なリソースへのアクセスが許可されることを意味します。

認定機関はレポートに検証の範囲 (特に範囲外のプラクティスがある場合) 、検証結果の概要、および結果の解決および改善方法の明確な指示を含める必要があります。 紛争が生じた場合には、検証されたすべてのプラクティスが実際に達成されていることを示す十分な裏付けとなる証拠となるべきです。

評価者およびソフトウェアサプライヤは、コンロトールレベルが開示されている限り、 SCVS コントロールを使用して実行されたものとして評価を説明できます。

自動検証の役割

効率と精度を高めるために、可能な限り、自動化を使用して SCVS に記載されているコントロールを検証すべきです。 一部のコントロールは自動では検証できません。 しかし、可能なコントロールについては、他の方法でその結果を妥当性確認できる場合には自動化を推奨します。

より高いレベルの保証のために、自動化手法を使用して、コントロールを独立して妥当性確認することもできます。

\newpage