Software and Data Integrity Failures（ソフトウェア・データ整合性の失敗）

Software and Data Integrity Failures（ソフトウェア・データ整合性の失敗）とは、ひとことで言えば、ソフトウェア更新・重要データ・CI/CDパイプラインが完全性検証なしに信頼されることで生じる脆弱性カテゴリです。OWASP Top 10 2021で新設され、SolarWinds事件のようなサプライチェーン攻撃を含みます。たとえば、署名検証なしの自動アップデート、改ざん検知のないシリアライゼーション、信頼できないCDNからのライブラリ読み込みが該当します。対策にはコード署名、SBOM管理、依存関係のチェックサム検証、CI/CDパイプラインの保護が含まれます。SLSA等のフレームワーク準拠が推奨されます。