メインコンテンツへスキップ
フレームワーク

セキュアソフトウェアアテステーション

Secure Software Attestation

ソフトウェアの開発者や供給者が、安全な開発実践や特定要件への適合状況を、定められた形式で表明し、調達者が確認できるようにする証明情報。

アテステーションは監査や製品の完全な安全保証と同じではなく、誰が、何を対象に、どの期間と基準について表明したかを確認する資料です。調達側は例外、補足資料、更新頻度、虚偽時の対応を契約とリスク評価へ結び付けます。

  • 初心者向けには「供給者が安全な開発要件への取り組みを責任を持って表明する書類」と捉える
  • SBOMは構成、VEXは脆弱性影響、アテステーションは実践や要件への表明で役割が異なる
  • 自己表明、第三者評価、技術的証拠を混同せず、対象範囲を読む

よくある質問

セキュアソフトウェアアテステーションとは?

ソフトウェアの開発者や供給者が、安全な開発実践や特定要件への適合状況を、定められた形式で表明し、調達者が確認できるようにする証明情報。

セキュアソフトウェアアテステーションについて詳しく知るには?

アテステーションは監査や製品の完全な安全保証と同じではなく、誰が、何を対象に、どの期間と基準について表明したかを確認する資料です。調達側は例外、補足資料、更新頻度、虚偽時の対応を契約とリスク評価へ結び付けます。

セキュアソフトウェアアテステーションのポイントは?

初心者向けには「供給者が安全な開発要件への取り組みを責任を持って表明する書類」と捉える SBOMは構成、VEXは脆弱性影響、アテステーションは実践や要件への表明で役割が異なる 自己表明、第三者評価、技術的証拠を混同せず、対象範囲を読む

← 用語集一覧に戻る
ESC