قيمة قائمة مواد البرمجيات (SBOM)
نشرت: 2023-11-28إذا كنت قد أمضيت لحظة في التفكير في سلامة سلسلة التوريد خلال العام الماضي، فمن المحتمل أنك على دراية بمصطلح "قائمة مواد البرنامج"، والذي تم اختصاره إلى SBOM. في أبسط صوره، يمكن مقارنة SBOM بقائمة مكونات البرنامج؛ ومع ذلك، من الناحية الحقيقية، فهو أكثر تعقيدًا بكثير.
في المؤسسات التي تعتمد على التكنولوجيا الرقمية اليوم - مع الاعتماد الكبير على بائعي البرامج، والأدوات مفتوحة المصدر، وتطبيقات Whitelabel - لا يمكن المبالغة في تقدير قيمة وجود قائمة مواد برمجية.
تعريف SBOM: ما هي قائمة مواد البرمجيات (SBOM)؟
قائمة مواد البرنامج عبارة عن قائمة بالمكونات الأساسية (مثل موارد التعليمات البرمجية) المستخدمة لبناء منتج. فهو يوفر معلومات وتفاصيل يمكن قراءتها آليًا تحدد الروابط بين عناصر البرامج المختلفة في سلسلة التوريد الخاصة بك.
تتمحور SBOMs بشكل أساسي حول سلامة "المواد" الرقمية التي يعمل بها الشخص، مع التركيز على الثقة والأمن. يمكنهم التعرف على المكونات التي يتكون منها البرنامج، ومكان إنشاء هذه الملفات، وكيفية إنشائها، وما إذا كانت موقعة بشكل آمن من قبل أفراد موثوقين.
تعد SBOMs أداة يمكن لمطوري البرامج والمستهلكين استخدامها لتعزيز الثقة والمصداقية في دورة حياة تطوير البرمجيات وتوزيعها.
تشير تقديرات جارتنر إلى أنه بحلول عام 2025، ستضطر 60% من المؤسسات التي تقوم بتطوير أو شراء برامج للبنية التحتية الحيوية إلى استخدام SBOMs، وهو ارتفاع حاد من أقل من 20% في عام 2022. دعونا نفحص السبب، وما هي قيمة فاتورة البرامج على وجه التحديد مواد.
SBOM والأمن السيبراني: لماذا يعد الحفاظ على قائمة المواد البرمجية أمرًا بالغ الأهمية
وفي كل من القطاعين العام والخاص، أصبحت الهجمات السيبرانية الآن شائعة للغاية. وفي النصف الثاني من عام 2022، قفز عدد التطفلات على القطاعات الحكومية بنسبة 95% مقارنة بالفترة نفسها من عام 2021.
ومن المتوقع أن يرتفع الأثر الاقتصادي العالمي للهجمات الإلكترونية بشكل كبير من 8.44 تريليون دولار في عام 2022 إلى 23.84 تريليون دولار في عام 2027.
ولهذا السبب تدفع الشركات، ومجموعات الدفاع عن الأمن السيبراني، وحتى الحكومات، إلى SBOM كجزء مهم من البنية التحتية الرقمية - وليس من الجميل أن تمتلكه.
في الواقع، يفرض الأمر التنفيذي الأمريكي (EO) 14028 الصادر في مايو 2021، بعنوان "تحسين الأمن السيبراني للأمة"، استخدام SBOMs لتعزيز أمن قواعد البيانات الفيدرالية الأمريكية. فهو يجعل قائمة المواد البرمجية إلزامية لأي مزود برامج يعمل مع وكالة حكومية.
في النهاية، إذا كانت الشركات لا تعرف ما هو موجود داخل برامجها، فلن تتمكن من فهم أو تقييم المخاطر التي تجلبها للشركة أو العملاء المحتملين بشكل كامل.
حالات استخدام SBOM
بالإضافة إلى منحك رؤية واضحة لبرامج الطرف الثالث، وبالتالي تسهيل معالجة هجمات سلسلة التوريد، تساعد قائمة المواد البرمجية في:
تعزيز العلاقات بين البائع والمشتري
يحتاج كل من مطوري البرامج ومستخدميهم إلى الثقة في البرنامج الذي يعملون به. يمكن للأفراد استخدام البيانات التعريفية الموجودة في SBOM للتحقق من سلامة البرنامج والتعرف بسرعة على المكونات المعيبة أو الضعيفة التي قد تؤثر على أنظمتهم وعملياتهم.
وبالمثل، يمكن لـ SBOMs تسليط الضوء على تدابير السلامة التي يتعين على مطوري البرامج اتخاذها لإنشاء برامج آمنة وحديثة.
إجراء تحليلات أكثر شمولاً لنقاط الضعف
يمكن للشركات فحص مكونات SBOM بحثًا عن نقاط الضعف. في حالة وجود مشكلة، سيكونون أيضًا على دراية بالتبعيات التي يجب تصحيحها. الثغرة الأمنية هي عيب يمكن استغلاله من قبل جهات ضارة تسعى إلى إتلاف البرامج أو الإضرار بالنظام الذي تعمل عليه.
يمكن لـ SBOMs التأكد من تحديث البرنامج المستخدم بانتظام وبأحدث صورة رمزية له. إذا لم يكن الأمر كذلك، فيمكنك إجراء تحليل المخاطر على المكونات القديمة فقط بدلاً من التخلص من الموارد عند مراجعة البرنامج بأكمله.
تقديم برامج ذات جودة أفضل
كما يقول المثل القديم، "قل ما تفعله، افعل ما تقوله" وعلى نفس المنوال، فإن عملية إنشاء وتقييم SBOM عادةً ما تساعد المطورين في تحديد ما إذا كان بناء البرنامج في أفضل حالاته حقًا.
هل هي متسقة وقابلة للتكرار؟ هل يعكس SBOM الذي تم إنشاؤه ما يعتقد المهندسون أنه موجود داخل البرنامج؟ أم أن هناك فجوة؟ يكشف معظم منشئي SBOM عن بعض العناصر على الأقل حول البرنامج التي لم يكن البائع على علم بها، مما يسمح لهم بتحسين جودة البرنامج ونشر أفضل الإصدارات فقط.
تحسين عملية صنع القرار فيما يتعلق بالمشتريات
يتيح استخدام SBOMs التي يقدمها موفرو برامج الطرف الثالث لمديري المشتريات اتخاذ قرارات أكثر استنارة لشراء البرامج. من خلال قائمة المواد البرمجية، يمكن لمتخصصي مشتريات تكنولوجيا المعلومات "تحت غطاء" البرنامج لمعرفة كيفية عمله قبل الشراء.
في حالة عدم توفر SBOM قبل الشراء، يمكنك الاستفادة من حالة الاستخدام هذه خلال فترة زمنية معقولة بعد الشراء - قبل أن يتم ضبط قفل البائع - وتبديل موفري الخدمة إذا لزم الأمر.
بناء أنظمة مؤسسية قابلة للتشغيل البيني
مهندسو المؤسسات مسؤولون عن بناء الإطار التكنولوجي للشركة. كما هو الحال مع مهندس البناء، من الأسهل بكثير تجميع حزمة تقنية إذا فهمت كل عنصر من عناصر الموارد المتوفرة لديك. وينطبق هذا بشكل خاص على عمليات الاندماج والاستحواذ، حيث لا يتمتع المهندسون المعماريون برؤية كاملة لمصدر البرنامج وقدراته وقيوده.
تعزيز الاستجابة للحوادث الأمنية
يمكن لـ SBOMs أن تكون بمثابة التحقق من صحة نتائج وتوصيات الأحداث - وهو مؤشر اتجاهي لما حدث من خطأ. وكدليل داعم، يساعد SBOM في التحقيق في الحادث وتقييم تأثيره على الأنظمة المتزامنة أو إصدارات النظام السابقة.
أثناء وبعد وقوع الحادث، يمكن لـ SBOMs أيضًا تسهيل التفاعلات بين المتعاونين والمجموعات المتضررة والعملاء.
يعد التحقق من أن المحتويات التي تم تعدادها بواسطة SBOM دقيقة إلى حد ما في وقت النشر وعدم وجود أي ثغرات أمنية محددة أو لم يتم حلها هو تطبيق إضافي لـ SBOMs في إدارة الاستجابة للحوادث.
يمكن أن يؤدي ذلك إلى تقليل المخاطر والمسؤوليات القانونية للشركات التي واجهت اختراقًا للبيانات أو حادثًا بنفس الخطورة.
اعتبارات المؤسسة لاستخدام SBOM: كيفية تعظيم قيمتها
تقع على عاتق البائع مسؤولية تجميع وتنسيق وتقديم قائمة كاملة بمواد البرنامج لاستخدامك. ومع ذلك، الحصول على SBOM ليس كافيًا؛ تحتاج المؤسسات إلى استراتيجية حوكمة لتوجيه SBOMs إلى حالات الاستخدام الأكثر قيمة.
تعرف على البائعين الذين سيرسلون طلب SBOM
نظرًا لأن الموارد تأتي بشكل عام مع حد ثابت للاستخدام، فأنت بحاجة إلى البدء بتحليل تأثير الأعمال لتحديد موفري الخدمات الأساسيين لديك وحلول البرامج التجارية الجاهزة أو COTS.
بالنسبة لبعض الشركات التي لديها معايير أمان صارمة، سيُطلب من جميع البائعين الذين لديهم أي نوع من التأثير على بيانات المؤسسة تقديم SBOM. بالنسبة للأطراف الأخرى، ربما لا يلزم سوى مجموعة فرعية من مقدمي الخدمات الرئيسيين أن يكونوا جزءًا من هذه العملية.
من الضروري أيضًا مراعاة مستوى خبرة البائعين لديك. سيكون بائع الشركة الراسخ أكثر استعدادًا لتقديم ما تحتاجه عند مقارنته بشركة ناشئة متقلبة.
حدد إيقاع تحديثات SBOM واستخدم الأتمتة
من المهم أيضًا مراعاة الانتظام الذي تحتاج إلى إرسال SBOMs إليه. في بعض الصناعات، قد يحتاج العملاء إلى التحديثات كلما تم تحديث البرنامج.
يمكن أن يحدث هذا بشكل مستمر - كل ساعة أو يوميًا - لمنصات SaaS، ولكن هذا المستوى من التكرار من شأنه أن يثقل كاهل البائعين بواجبات جمع بيانات SBOM وتسليمها. عادةً، من الأفضل طلب "لمحات أو لقطات" من SBOM للمنتجات على فترات زمنية مجدولة (يوميًا، مع كل إصدار جديد، وما إلى ذلك).
تحقق مما إذا كان العقد الخاص بك يتضمن اتفاقية مستوى الخدمة الرسمية (SLA) لتسليم SBOM.
إنشاء سير عمل تبادل SBOM والتحكم في الإصدار
يعد صندوق البريد المليء بملفات JSON وXML طريقة غير فعالة لإدارة البيانات. كحد أدنى، تحتاج المؤسسات إلى طريقة منظمة لمراقبة إصدار كل SBOM والإشراف عليه.
من الناحية المثالية، أنت بحاجة إلى نظام يمكنه استيعاب المعلومات الواردة وفك تشفيرها وتقييمها. يمكن استيعاب بيانات SBOM بواسطة منصات مثل Anchore وMend.io لإرسال تنبيهات آلية وإجراء تحليلات أمنية آلية، من بين ميزات أخرى.
الخطوات التالية
لتعزيز بروتوكولات الأمان الخاصة بمؤسستك بشكل أكبر، قم بتوصيل SBOMs بأدوات إدارة الثغرات الأمنية. على سبيل المثال، يمكن لبرامج فحص التطبيقات أو الحاويات استخدام بيانات SBOM للبحث عن نقاط الضعف والمخاطر المعترف بها.
مع تزايد وتيرة الهجمات الإلكترونية، أصبحت سلامة سلسلة التوريد الآن أحد الاعتبارات الأساسية لجميع الشركات. تعد قائمة مواد البرامج (SBOM) أداة مفيدة للغاية تساعد المؤسسات على تحديد مكونات البرامج ومراقبتها. كما أنه يبقي المستخدمين على علم تام بمشاكل السلامة والكفاءة المحتملة.
بعد ذلك، قم ببناء إستراتيجية SBOM الخاصة بك باستخدام أحدث رؤى Splunk حول الأمان الذي يتجاوز الامتثال . إذا استمتعت بقراءة هذه المقالة، قم بمشاركتها على وسائل التواصل الاجتماعي من خلال النقر على زر Facebook أو Twitter أو LinkedIn في الأعلى!