セキュアソフトウェア開発ライフサイクル(SSDL)
CRAでは、設計から納品、保守に至るまで、セキュアなソフトウェア開発ライフサイクル(SSDL)の実践が製品チームに求められます。これは特定の単一要件というよりも、CRA全体を通じて貫かれる基本的なテーマです。
つまり、製品ライフサイクル全体を通じて、サイバーセキュリティ対策に関する合理的な根拠を証明できる状態である必要があります。また、CRAが定める**デフォルトの製品寿命(5年間)**に対して、延長または短縮の理由がある場合は、それを明示する必要があります。
Qt Group ハイライト
強固なプロトコルと実績ある取り組み
Qtは、30年近くにわたるオープンフレームワークの開発を通じて、セキュアな設計・計画原則、コード整合性の保護、サードパーティによるセキュリティ監査、透明性と追跡性のあるセキュリティ課題の対応プロセス、そして豊富なドキュメントなど、多くのセキュリティ対策をすでに整備しています。
そして今、Qtはその基盤の上にCRA対応をさらに加えようとしています。
セキュリティクリティカルモジュールの識別
Qt フレームワークでは、セキュリティクリティカルなモジュールを識別・マーキングするためのプロセスが用意されています。この取り組みは、バグがセキュリティ問題につながりやすいコードファイルを特定することを目的としています。
たとえば、信頼されていない入力を解析するコードや、プロトコルを実装するコードなどが該当します。
Qt Group 今後の対応
Qt フレームワークにおけるセキュリティクリティカルなモジュール識別プロセスの、Qt Group全製品への拡張
Qt Projectの全コントリビューターに対する多要素認証(MFA)の必須化
OWASP SAMMなど業界標準のSSDLフレームワークの導入検討
サードパーティ製コンポーネントに対するCRA準拠状況の確認プロセスの確立
コードレビューおよび要件管理におけるセキュリティフラグ付けメカニズムの改善
製品ライフサイクル管理に関する用語・目的・課題の共通理解を促すオンボーディング資料の作成
各製品のメンテナンス期間の定義方法の文書化および、製品ライフタイムを考慮した対応の明確化
本ページおよび本ウェブサイトに記載されている情報は、法的助言を構成するものではありません。掲載内容は、あくまで情報提供およびテーマに関する議論を目的としたものであり、予告なく変更される可能性があります。Qt Groupは、本ページの内容の正確性や最新性を保証するものではなく、また本ページからリンクされている外部サイトや、外部サイトから本ページへリンクされているコンテンツや運営について一切の責任を負いません。本ページの情報は、法律上の助言の代替として使用すべきものではなく、そのように解釈されるべきではありません。