規格

SBOM

• 概略
  • Software Bill of Materials (SBOM) | CISA
• フォーマット
  • OWASP
    • CycloneDX
  • Linux Foundation
    • SPDX, ISO/IEC 5962:2021: ISOに採用された
  • NIST
    • Software Identification (SWID) Tagging

SAST

• CISQ
  • ISO/IEC 5055:2021 - Information technology — Software measurement — Software quality measurement — Automated source code quality measures

アップデート

• CNCF
  • TUF: The Update Framework

その他

• Supply-chain Levels for Software Artifacts (SLSA)

組織

• Linux Foundation
  • OpenSSF: Open Software Security Foundation
• CNCF: Cloud Native Computing Foundation
  • Technical Advisory Group on Security (TAG security)
• Continuous Delivery Foundation (CDF)
  • Parent of Tekton (see above)
  • Special Interest Group Software Supply Chain (SIG Software Supply Chain)
  • Special Interest Group Best Practices (SIG Best Practices)

ツール

• CNCF
  • in-toto
• Linux Foundation / OpenSSF
  • Sigstore
    • Gitsign: git のコミットに署名するためのツール
    • Cosign: コンテナに署名するためのツール
  • Scorecard: セキュリティレベルを評価するツール
    • OSSF Scorecard action | GitHub Actions
• anchore
  • syft: コンテナのSBOMを生成するためのツール(docker sbomコマンドに採用された)