先日のSolarWinds社へのサイバー攻撃の後、非常に多くの企業が(弊社も含めて)自社のサプライヤーがこのインシデントの影響を受けていないか調査しています。
SolarWinds Orion製品(影響を受けるバージョンは2019.4から2020.2.1 HF1)は現在、悪意のある行為者によって悪用されています。この手口により、攻撃者はネットワークトラフィック管理システムへのアクセスを許可されます。-https://cyber.dhs.gov/ed/21-01/
Q. Secure CodeWarrior® は SolarWinds Orion ソフトウェアを使用していますか?
A. いいえ
Q. Secure CodeWarrior®は、FireEye Red Teamのツール侵害を受けて、推奨される対策を実施しましたか?
A. いいえ。このツールは、主にWindows/Microsoftのターゲットに役立つものであり、当社のネットワークでは一切使用していません。
Q.会社のコードベースに悪意のあるコードが含まれていないことを可能な限り保証するために、Secure Code Warriorはどのようなアプローチでコードレビューを続けていますか?
A. 当社は、以下を含む多くのベストプラクティスを採用しています:
- コードを作成する全スタッフに対するコード・セキュリティ・トレーニング
- ソースコードレビューの義務化
- ソース管理によるコミットや変更のログ記録
- 自動化された静的アプリケーション・セキュリティ・テスト(SAST)
- 定期的な侵入テスト
- すべてのサードパーティライブラリの脆弱性スキャン
- すべての本番コンテナの脆弱性スキャン
- すべてのデプロイは、セキュリティと品質保証を実施する自動化パイプラインを通過する。
Q.Secure Code Warrior は、製品およびネットワークのセキュリティ脆弱性の特定と緩和に関して、どのような方針を持っていますか。
A.上記の慣行に従うことに加え、セキュリティテスト活動から得られるすべてのアウトプット(発見事項など)は、専任のセキュリティチームによって評価され、優先順位が付けられます。
コメント
0件のコメント
サインインしてコメントを残してください。