📗
owasp-scvs-ja
  • OWASP SCVS ja
  • OWASP ソフトウェアコンポーネント検証標準 日本語版
    • 扉
    • 序文
    • SCVS の使用
    • 監査と認定
    • V1: インベントリ要件
    • V2: ソフトウェア部品表 (SBOM) 要件
    • V3: ビルド環境要件
    • V4: パッケージ管理要件
    • V5: コンポーネント分析要件
    • V6: 系統および来歴要件
    • ガイダンス: オープンソースポリシー
    • 付録 A: 用語集
    • 付録 B: 参考情報
Powered by GitBook
On this page
  • SCVS 認定と認証マークに対する OWASP の見解
  • ソフトウェアコンポーネントサプライチェーンの認定に関するガイダンス
  • 自動検証の役割

Was this helpful?

  1. OWASP ソフトウェアコンポーネント検証標準 日本語版

監査と認定

SCVS 認定と認証マークに対する OWASP の見解

OWASP はベンダー中立の非営利組織であり、ベンダー、検証者、ソフトウェアの認定は行っていません。

そのような保証の表明、認証マーク、認定はいずれも OWASP によって公式に検査、登録、認定されたものではありません。 そのような見解に依存している組織は SCVS 認定を主張する第三者や認証マークについて、 その信頼性に注意する必要があります。

これは、OWASP の公式な認定であると主張しない限り、組織がこのような保証サービスを提供することを 妨げるものではありません。

ソフトウェアコンポーネントサプライチェーンの認定に関するガイダンス

ソフトウェアサプライチェーンの SCVS への準拠を検証するために推奨されている方法は「オープンブック」レビューを行うことです。 つまり、監査人には法務、調達、ビルドエンジニア、開発者、リポジトリ、ドキュメント、ソースコードのあるビルド環境などの主要なリソースへのアクセスが許可されることを意味します。

認定機関はレポートに検証の範囲 (特に範囲外のプラクティスがある場合) 、検証結果の概要、および結果の解決および改善方法の明確な指示を含める必要があります。 紛争が生じた場合には、検証されたすべてのプラクティスが実際に達成されていることを示す十分な裏付けとなる証拠となるべきです。

評価者およびソフトウェアサプライヤは、コンロトールレベルが開示されている限り、 SCVS コントロールを使用して実行されたものとして評価を説明できます。

自動検証の役割

効率と精度を高めるために、可能な限り、自動化を使用して SCVS に記載されているコントロールを検証すべきです。 一部のコントロールは自動では検証できません。 しかし、可能なコントロールについては、他の方法でその結果を妥当性確認できる場合には自動化を推奨します。

より高いレベルの保証のために、自動化手法を使用して、コントロールを独立して妥当性確認することもできます。

\newpage

PreviousSCVS の使用NextV1: インベントリ要件

Last updated 4 years ago

Was this helpful?