SCITT

Supply Chain Integrity, Transparency and Trust (SCITT)

https://gyazo.com/7a7ea0b5fd79a02795083f8706774793

ソフトウェアが構築または配備された時点でクレームを文書化することは、SCITTを安易に売り渡すことになります。ソフトウェアは継続的に更新され、さらに重要なことに、私たちは継続的に学習し、すでにリリースされた人工物について新しい情報を伝えたいと考えています。信頼できるOSSプロジェクトや独立系ソフトウェアベンダー（ISV）は、脆弱性があるとわかっているソフトウェアを意図的に作成することはありません。ソフトウェアが公開されて初めて、新たな脆弱性が判明することが多いのです。SCITTは、バージョン管理された各アーティファクトの継続的な更新の流れを伝えるための手段です。

「スナップショットではなく履歴の把握が本質だ」言うてる？