組み込まれた自動化とポリシーの実施

アイデンティティおよびアクセス管理（IAM）は、ソフトウェアサプライチェーンにおける最大の攻撃ベクトルの1つです。GitLabを使用して、環境内で動作するすべての人間と機械のアイデンティティを認証、承認し、継続的に検証することでアクセスを保護しましょう。

• 2要素認証などのきめ細かなアクセス制御を実装する
• トークンの有効期限ポリシーを定める
• 組織のルールや規制上のルールに基づいて、ポリシーを設定する
• コンプライアンスへの準拠のために、包括的な監査レポートとガバナンスレポートを生成する
• 追加のガードレールとして、2名体制での承認を実施する

コードにアクセスできるユーザー、およびコードへの変更のレビュー方法とマージ方法を管理することによって、ソースコードのセキュリティと整合性を確保します。

• ソースコードのバージョン管理、コード履歴、アクセス制御を確立する
• 自動化されたコード品質テストにより、変更によるパフォーマンスへの影響を分析する
• レビューと承認ルールを実施し、本番環境に反映される内容を制御する
• 自動セキュリティスキャンを実行し、コードがマージされる前に脆弱性を検出する
• 自動化されたシークレット検出によって、パスワードや機密情報がソースコードに含まれていないことを確認する
• 署名済みコミットを導入して、デベロッパーのなりすましを防ぐ

プロジェクトで使用されているすべてのオープンソースの依存関係に既知の脆弱性が含まれていないこと、また信頼できるソースから入手したものであり、改ざんされていないことを確認します。

• 自動的にソフトウェア部品表を生成して、プロジェクトの依存関係を特定する
• 自動化されたソフトウェア構成分析によって、使用されていて依存関係にあるソフトウェアの脆弱性を特定する
• ライセンスコンプライアンススキャンを実行して、組織のポリシーに沿ってプロジェクト内でソフトウェアライセンスが使用されていることを確認する

悪意のある人物が不正コードをビルドプロセスに追加することや、パイプラインによってビルドされたソフトウェアの制御を得たり、パイプラインで使用されているにアクセスしたりすることを防止します。

• ビルド環境を隔離して、不正アクセスや不正コードの実行を防ぐ
• リリースに含まれるすべてのもののリリースエビデンスを保持する
• ビルドアーティファクトの認証によって、ビルドアーティファクトが漏えいしていないことを確認する

攻撃者がアプリケーションのデザインや設定の弱点を悪用して個人データを盗んだり、アカウントに不正にアクセスしたり、正規ユーザーになりすましたりするのを阻止します。

• クラスターへの安全な接続を確立して、リリースアーティファクトを提供する
• デプロイ前に、実行中のアプリケーションでセキュリティ上の脆弱性を特定する
• 実行中のアプリケーションがAPIインターフェイスを通じてさらされないようにする