ソフトウェアサプライチェーン は、ソフトウェアが作られ、ビルドされ、配布され、更新されるまでのつながり全体です。
アプリ本体だけでなく、依存ライブラリ、ビルド基盤、配布経路、委託先も含めて考えます。
まず押さえたいポイント
- 自社コードだけの話ではない
- 依存関係、CI/CD、配布、更新まで含む
- どこかが改ざんされると利用者まで影響する
どんな場面で使うか
- OSS 依存が多い開発
- コンテナイメージやパッケージ配布
- 委託開発や外部基盤の利用
- サプライチェーン攻撃 対策
どんなふうに理解するとよいか
初心者向けには、ソフトを作って届けるまでの流れ全部 と考えると分かりやすいです。
コードを書く人だけでなく、ビルド環境、署名、配布、更新にも目を向ける必要があります。
押さえておきたい注意点
脆弱性はアプリ本体だけでなく、依存関係やビルド基盤からも入ります。
また、正規アップデートに見える形で広がると影響が大きいです。