📗
owasp-scvs-ja
  • OWASP SCVS ja
  • OWASP ソフトウェアコンポーネント検証標準 日本語版
    • 扉
    • 序文
    • SCVS の使用
    • 監査と認定
    • V1: インベントリ要件
    • V2: ソフトウェア部品表 (SBOM) 要件
    • V3: ビルド環境要件
    • V4: パッケージ管理要件
    • V5: コンポーネント分析要件
    • V6: 系統および来歴要件
    • ガイダンス: オープンソースポリシー
    • 付録 A: 用語集
    • 付録 B: 参考情報
Powered by GitBook
On this page
  • 管理目標
  • 検証要件

Was this helpful?

  1. OWASP ソフトウェアコンポーネント検証標準 日本語版

V4: パッケージ管理要件

管理目標

再利用を目的としたオープンソースコンポーネントは多くの場合エコシステム固有のパッケージリポジトリに公開されます。 一元化されたリポジトリは Maven, .NET, NPM, Python など多くのビルドシステムに存在します。 さらに組織内部のリポジトリではファーストパーティコンポーネントの再利用や信頼できるサードパーティコンポーネントへのアクセスを提供するものがあります。

パッケージマネージャは多くの場合ビルドプロセス中に呼び出されます。コンポーネントバージョンを解決し、リポジトリからコンポーネントを取得します。

パッケージマネージャと一元化されたリポジトリを使用することには、ビジネス、技術、セキュリティの面で大きなメリットがありますが、攻撃者の標的となることも少なくありません。 ベストプラクティスを実施することでソフトウェアサプライチェーンの危殆化のリスクを劇的に減らすことができます。

検証要件

#

説明

L1

L2

L3

4.1

バイナリコンポーネントはパッケージリポジトリから取得している

✓

✓

✓

4.2

パッケージリポジトリのコンテンツはオープンソースコンポーネントの信頼できる起点と一致している

✓

✓

✓

4.3

パッケージリポジトリは強力認証を必要としている

✓

✓

4.4

パッケージリポジトリは多要素認証コンポーネント発行をサポートしている

✓

✓

4.5

パッケージリポジトリコンポーネントは多要素認証で発行されている

✓

4.6

パッケージリポジトリはセキュリティインシデントレポートをサポートしている

✓

✓

4.7

パッケージリポジトリはセキュリティインシデントレポートを自動化している

✓

4.8

パッケージリポジトリはセキュリティ問題を発行者に通知している

✓

✓

4.9

パッケージリポジトリはセキュリティ問題をユーザーに通知している

✓

4.10

パッケージリポジトリはバージョン管理で特定のソースコードにコンポーネントバージョンを関連付ける検証可能な方法を提供している

✓

✓

4.11

パッケージリポジトリはコンポーネント更新時に監査可能性を提供している

✓

✓

✓

4.12

パッケージリポジトリはパッケージを本番リポジトリに公開するためにコード署名を必要としている

✓

✓

4.13

パッケージマネージャはリモートリポジトリからパッケージを取得する際にパッケージの整合性を検証している

✓

✓

✓

4.14

パッケージマネージャはファイルシステムからパッケージを取得する際にパッケージの整合性を検証している

✓

✓

✓

4.15

パッケージリポジトリはすべての対話に TLS の使用を強制している

✓

✓

✓

4.16

パッケージマネージャはリポジトリへの TLS 証明書チェーンを妥当性確認しており、妥当性確認が失敗した場合には安全に失敗している

✓

✓

✓

4.17

パッケージリポジトリはコンポーネントを公開する前に静的コード解析を要求または実行しており、他の人が結果を利用できるようしている

✓

4.18

パッケージマネージャはコンポーネントコードを実行していない

✓

✓

✓

4.19

パッケージマネージャはパッケージインストールを機械読み取り可能な形式でドキュメント化している

✓

✓

✓

PreviousV3: ビルド環境要件NextV5: コンポーネント分析要件

Last updated 4 years ago

Was this helpful?