正式にはIEC 62443-4-1セキュリティとして知られている産業用オートメーションおよび制御システム向けのセキュリティ規格Part 4-1:セキュア製品開発ライフサイクルの要件は、産業用制御システムのサプライヤーの製品開発ライフサイクルプロセスを評価することを目的とした大規模な認証プログラムの一部です。ISAおよびIEC規格はさまざまな業界で採用されており、ヨーロッパでは多くの場合に法律で義務付けられています。
ソフトウェアテスターにとっての関心事項は 8.2.1(c)節の静的コード解析(SCA)で、該当言語のテストが存在する場合、またはソフトウェアが変更された場合にこのテストを行うものとしています。別の節では、サードパーティー製ソフトウェアのテストについて規定しています。
9.4節:SV-3はファジングテストおよびネットワークトラフィックの負荷テストと容量テスト、アタックサーフェス解析、ブラックボックスによる既知の脆弱性スキャンを対象にしています。すべてのバイナリ実行可能ファイルでソフトウェア・コンポジション解析を行う場合、少なくとも以下のような問題があります。
(1)製品ソフトウェアコンポーネントの既知の脆弱性
(2)脆弱なライブラリへのリンク
(3)セキュリティルール違反
(4)脆弱性を引き起こす可能性のあるコンパイラ設定
Continue Reading
2024 OSSRA レポート:オープンソース・コンポーネントの古いコードのリスク
Apr 17, 2024 / 1 min read
![[CyRC脆弱性勧告]CVE-2023-23846 Open5GS GTPライブラリのサービス拒否の脆弱性](https://images.synopsys.com/is/image/synopsys/cyrc-advisory-open5gs-gtp-library?ts=1697087353416&$responsive$)
