ソフトウェア開発者向けのサイバーセキュリティ事業を展開するFlatt Securityは3月9日、ソフトウェアサプライチェーンのためのセキュリティプラットフォーム「Shisho Cloud」(シショウクラウド)のサービス公開に先立ち、事前登録を同日より開始することを発表した。事前登録したユーザーには、4月上旬より優先的に案内する予定。
Shisho Cloudの事前登録は、公式サイトより行える。3月末日までに登録すると、初期費用が無料になる特典も用意されている(適用条件あり)。
Shisho Cloudは、開発したソフトウェアを顧客に届けるまでの一連の過程(ソフトウェアサプライチェーン)に関連するセキュリティ上の問題発見から修正までを、半自動的に支援するセキュリティプラットフォーム。GitHubなどのソースコード管理システムと連携することで、運用状態やその上で管理されているソフトウェアの依存関係・設定ファイルなどを継続的かつ自動的にレビューする。
これにより、自社組織がソフトウェアサプライチェーンに関するリスクをどの程度抱えているか、どのように改善できるかを、セキュリティフレームワークに沿って評価・モニタリングすることが可能という。Flatt Securityが提供するセキュリティチェックの他にも、自社固有のポリシーを定義・利用することも可能。この際、ポリシー記述言語Rego、WebAssemblyにコンパイル可能な複数のプログラミング言語を利用できる。
また、複数の開発チームが組織内に存在している場合や、複数のソースコード管理システムが利用されている場合など、開発組織全体を横断してリスク管理を行なうユースケースにも対応しており、全チームの状況を俯瞰してリスクを把握することもできる。
サービスの開始にあたり、直近では、ソフトウェアサプライチェーンに存在する重要なリスクの発見と修正の半自動的なサポートを目的とした下記の機能が提供される。
- GitHubなど、各種ソースコード管理システムの安全な運用や監査を補助する機能
- IaC (Infrastructure as Code) コードを継続的かつ自動的にレビューし、その中の設定不備の検出・具体的な修正方法の提案を行う機能
- クラウドサービスのAPIキー・アクセスキーなどのシークレットや、個人情報などが、ソースコード内に不適切にハードコードされていないかを継続的に検査する機能
- ソフトウェアパッケージの依存関係を解析・管理することで、既知の脆弱性が存在する依存先や知らぬ間に変更されうるような依存先、悪意のある依存先を検出し、更新を提案する機能
- CI/CDワークフローの外部スクリプト・ワークフローへのリスクのある依存や、外部からのスクリプト注入を許すようなワークフローを検出する機能
長期的には、SLSAやin-totoのようなソフトウェアサプライチェーンに関するフレームワークや、OpenSSFのような同領域に関するコミュニティの各種プロジェクトの展開を踏まえ、開発環境から実際のアプリケーション運用環境まで一貫したサポートの提供を予定しているという。
