Skip to main content

エンドツーエンドのサプライ チェーンのセキュリティ保護

個人用アカウント、コード、ビルド プロセスを含む完全なエンドツーエンドのサプライ チェーンのセキュリティに関するベスト プラクティス ガイドについて紹介します。

エンド ツー エンドのサプライ チェーンとは

エンド ツー エンドのソフトウェア サプライ チェーンのセキュリティは、根本的には、配布するコードが改ざんされていないことを保証することです。 かつて、攻撃者は、ライブラリやフレームワークなど、ユーザーが使用する依存関係を重点的に狙いました。 攻撃者は、今や、ユーザー アカウントやビルド プロセスを含むように標的を拡大しています。したがって、このようなシステムも同様に防御する必要があります。

依存関係のセキュリティ保護に役立つ GitHub の機能について詳しくは、「サプライ チェーンのセキュリティについて」をご覧ください。

これらのガイドについて

この一連のガイドでは、エンド ツー エンドのサプライ チェーン (個人アカウント、コード、ビルド プロセス) のセキュリティ保護をどのように考えるべきかを説明します。 各ガイドでは、その領域のリスクについて説明し、そのリスクに対処するために役立つ GitHub 機能を紹介しています。

ニーズはユーザーによって異なるため、各ガイドは、まず最も影響が大きい変更について説明した後で、ユーザーが考慮すべきその他の改善事項を示しています。 不要な箇所はスキップして、最もメリットがあると思われる改善事項に集中してください。 目標は、すべてを一度に行うことではなく、長い時間をかけてシステムのセキュリティを継続的に改善することです。

参考資料