Wartość zestawienia materiałów oprogramowania (SBOM)
Opublikowany: 2023-11-28Jeśli w ciągu ostatniego roku poświęciłeś chwilę na zastanowienie się nad bezpieczeństwem łańcucha dostaw, prawdopodobnie znasz termin „Software Bill of Materials”, w skrócie SBOM. W najprostszej formie SBOM można porównać do listy składników oprogramowania; jednak w rzeczywistości jest o wiele bardziej wyrafinowany.
W dzisiejszych przedsiębiorstwach napędzanych cyfrowo – w dużym stopniu zależnych od sprzedawców oprogramowania, narzędzi typu open source i aplikacji typu whitelabel – nie można przecenić wartości posiadania zestawienia materiałów oprogramowania.
Definicja SBOM: Co to jest zestawienie materiałów oprogramowania (SBOM)?
Zestawienie materiałów oprogramowania to lista podstawowych komponentów (takich jak zasoby kodu) użytych do zbudowania produktu. Zawiera informacje i szczegóły do odczytu maszynowego opisujące powiązania pomiędzy różnymi elementami oprogramowania w łańcuchu dostaw.
W SBOM-ach zasadniczo chodzi o integralność cyfrowych „materiałów”, z którymi się pracuje, koncentrując się na zaufaniu i bezpieczeństwie. Mogą zidentyfikować komponenty, z których składa się oprogramowanie, skąd pochodzą te pliki, w jaki sposób zostały zbudowane i czy zostały bezpiecznie podpisane przez zaufane osoby.
SBOM to narzędzie, którego twórcy oprogramowania i konsumenci mogą używać do zwiększania zaufania i wiarygodności w cyklu życia tworzenia i dystrybucji oprogramowania.
Gartner szacuje, że do 2025 r. 60% organizacji opracowujących lub zamawiających oprogramowanie dla infrastruktury krytycznej będzie musiało korzystać z SBOM, co stanowi gwałtowny wzrost w porównaniu z mniej niż 20% w 2022 r. Przyjrzyjmy się, dlaczego i jaka dokładnie jest wartość rachunku za oprogramowanie wynoszącego materiały.
SBOM i bezpieczeństwo cybernetyczne: dlaczego utrzymywanie listy materiałów oprogramowania jest tak istotne
Zarówno w sektorze publicznym, jak i prywatnym cyberataki są obecnie aż nazbyt powszechne. W drugiej połowie 2022 r. liczba włamań do sektorów rządowych wzrosła o 95% w porównaniu z tym samym okresem w 2021 r.
Przewiduje się, że globalny wpływ gospodarczy cyberataków dramatycznie wzrośnie z 8,44 biliona dolarów w 2022 r. do 23,84 biliona dolarów w 2027 r.
Właśnie dlatego przedsiębiorstwa, grupy wspierające bezpieczeństwo cybernetyczne, a nawet rządy promują SBOM jako ważną część infrastruktury cyfrowej – a nie coś, co warto mieć.
W rzeczywistości amerykańskie rozporządzenie wykonawcze (EO) nr 14028 z maja 2021 r. zatytułowane „Poprawa cyberbezpieczeństwa narodu” nakazuje stosowanie SBOM w celu zwiększenia bezpieczeństwa amerykańskich federalnych baz danych. Sprawia, że zestawienie materiałów oprogramowania jest obowiązkowe dla każdego dostawcy oprogramowania współpracującego z agencją rządową.
Ostatecznie, jeśli firmy nie wiedzą, co znajduje się w ich oprogramowaniu, nie są w stanie w pełni zrozumieć ani ocenić ryzyka, jakie stwarza ono dla firmy lub ewentualnych dalszych klientów.
Przypadki użycia SBOM
Oprócz zapewnienia wglądu w oprogramowanie innych firm, ułatwiając w ten sposób radzenie sobie z atakami w łańcuchu dostaw, zestawienie materiałów oprogramowania pomaga w:
Wzmocnienie relacji sprzedawca-kupujący
Zarówno twórcy oprogramowania, jak i ich użytkownicy muszą mieć wiarę w oprogramowanie, z którym pracują. Metadane zawarte w SBOM mogą być wykorzystywane przez pojedyncze osoby do weryfikowania integralności oprogramowania i szybkiego rozpoznawania wadliwych lub podatnych na ataki komponentów, które mogą mieć wpływ na ich systemy i procesy.
Podobnie SBOM mogą podkreślić środki bezpieczeństwa, które muszą podjąć twórcy oprogramowania, aby stworzyć bezpieczne, najnowocześniejsze oprogramowanie.
Przeprowadzanie bardziej kompleksowych analiz podatności
Firmy mogą sprawdzać komponenty SBOM pod kątem luk w zabezpieczeniach. Jeśli wystąpi problem, będą również pamiętać, które zależności należy naprawić. Luka w zabezpieczeniach to wada, która może zostać wykorzystana przez złośliwe podmioty chcące uszkodzić oprogramowanie lub system, w którym ono działa.
SBOM mogą zapewnić regularne aktualizacje używanego oprogramowania i jego najbardziej aktualnego awatara. Jeśli nie, możesz przeprowadzić analizę ryzyka tylko na przestarzałych komponentach, zamiast tracić zasoby na recenzję całego oprogramowania.
Dostarczanie oprogramowania lepszej jakości
Jak mówi stare powiedzenie: „Mów, co robisz, rób, co mówisz”. W podobnym duchu czynność tworzenia i oceniania SBOM zazwyczaj pomaga programistom w określeniu, czy kompilacja oprogramowania jest rzeczywiście w najbardziej optymalnym stanie.
Czy jest to spójne i powtarzalne? Czy wygenerowany SBOM odzwierciedla to, co inżynierowie uważają za zawarte w oprogramowaniu? A może istnieje przepaść? Większość generatorów SBOM odkrywa co najmniej kilka elementów oprogramowania, o których sprzedawca nie miał pojęcia, co pozwala im poprawiać jakość oprogramowania i publikować tylko najlepsze kompilacje.
Usprawnienie procesu decyzyjnego w zakresie zakupów
Korzystanie z SBOM oferowanych przez zewnętrznych dostawców oprogramowania umożliwia menedżerom ds. zakupów podejmowanie bardziej świadomych decyzji dotyczących zakupu oprogramowania. Dzięki zestawieniu komponentów oprogramowania specjaliści ds. zakupów IT mogą zajrzeć „pod maskę” oprogramowania i przed zakupem dowiedzieć się, jak ono działa.
Jeżeli SBOM nie jest dostępny przed zakupem, możesz skorzystać z tego przypadku użycia w rozsądnym czasie po zakupie – zanim możliwe będzie zablokowanie dostawcy – i w razie potrzeby zmienić dostawcę.
Budowanie interoperacyjnych systemów korporacyjnych
Architekci korporacyjni są odpowiedzialni za tworzenie ram technologicznych firmy. Podobnie jak w przypadku architekta budowlanego, znacznie łatwiej jest skompletować stos technologii, jeśli zrozumiesz każdy z elementów dostępnych zasobów. Dotyczy to szczególnie fuzji i przejęć, gdzie architekci nie mają pełnego wglądu w pochodzenie, możliwości i ograniczenia oprogramowania.
Wzmocnienie reakcji na incydenty związane z bezpieczeństwem
SBOM mogą służyć jako potwierdzenie ustaleń i zaleceń dotyczących zdarzeń — kierunkowy wskaźnik tego, co poszło nie tak. Jako dowód potwierdzający, SBOM pomaga w dochodzeniu w sprawie incydentu i ocenie jego wpływu na systemy współbieżne lub wcześniejsze wersje systemów.
W trakcie incydentu i po nim SBOM mogą również ułatwiać interakcje między współpracownikami, grupami dotkniętymi incydentem i klientami.
Sprawdzenie, czy zawartość wyliczona w SBOM była w miarę dokładna w momencie rozpowszechniania i czy nie istniały żadne zidentyfikowane lub nierozwiązane luki w zabezpieczeniach, stanowi dalsze zastosowanie SBOM w zarządzaniu reagowaniem na incydenty.
Może to zmniejszyć ryzyko prawne i odpowiedzialność firm, które doświadczyły naruszenia danych lub zdarzenia o jednakowej wadze.
Rozważania przedsiębiorstwa dotyczące korzystania z SBOM: jak zmaksymalizować ich wartość
Za złożenie, sformatowanie i dostarczenie kompletnego zestawienia materiałów oprogramowania do użytku użytkownika odpowiada sprzedawca. Jednak uzyskanie SBOM nie wystarczy; przedsiębiorstwa potrzebują strategii zarządzania, aby kierować SBOM do najbardziej wartościowych przypadków użycia.
Dowiedz się, do których dostawców wysłać żądanie SBOM
Ponieważ zasoby zazwyczaj mają ustalony limit wykorzystania, należy rozpocząć od analizy wpływu na działalność biznesową, aby określić najważniejszych dostawców usług oraz rozwiązania w zakresie oprogramowania komercyjnego typu Off The Shelf lub COTS.
W przypadku niektórych firm stosujących rygorystyczne standardy bezpieczeństwa wszyscy dostawcy mający jakikolwiek wpływ na dane organizacji będą zobowiązani do przesłania SBOM. W przypadku innych stron być może częścią tego procesu powinna być tylko część kluczowych dostawców usług.
Istotne jest również, aby wziąć pod uwagę poziom wiedzy specjalistycznej dostawców. Uznany dostawca korporacyjny będzie lepiej przygotowany do dostarczenia tego, czego potrzebujesz, w porównaniu do żwawego startupu.
Zdecyduj o częstotliwości aktualizacji SBOM i korzystaj z automatyzacji
Należy również wziąć pod uwagę regularność, z jaką należy przesyłać SBOM. W niektórych branżach klienci mogą wymagać aktualizacji przy każdej aktualizacji oprogramowania.
Może to mieć miejsce na bieżąco – co godzinę lub codziennie – w przypadku platform SaaS, ale taki poziom częstotliwości obciążałby dostawców obowiązkami w zakresie gromadzenia i dostarczania danych SBOM. Zwykle lepiej jest żądać od SBOM „przeglądów lub migawek” produktów w zaplanowanych odstępach czasu (codziennie, przy każdej nowej wersji itp.).
Sprawdź, czy Twoja umowa zawiera oficjalną umowę dotyczącą poziomu usług (SLA) dotyczącą dostawy SBOM.
Ustanów proces wymiany SBOM i kontroli wersji
Skrzynka pocztowa wypełniona plikami JSON i XML to nieefektywny sposób zarządzania danymi. Organizacje wymagają co najmniej ustrukturyzowanej metody monitorowania i nadzorowania wersji każdego SBOM.
W idealnym przypadku potrzebny jest system, który może przyjmować, dekodować i oceniać zawarte informacje. Dane SBOM mogą być pozyskiwane przez platformy takie jak Anchore i Mend.io w celu między innymi wysyłania automatycznych alertów i przeprowadzania automatycznych analiz bezpieczeństwa.
Następne kroki
Aby jeszcze bardziej wzmocnić protokoły bezpieczeństwa swojej organizacji, połącz SBOM z narzędziami do administrowania lukami w zabezpieczeniach. Na przykład skanery aplikacji lub kontenerów mogą wykorzystywać dane SBOM do wyszukiwania rozpoznanych luk w zabezpieczeniach i zagrożeń.
Wraz ze wzrostem częstotliwości cyberataków bezpieczeństwo łańcucha dostaw jest obecnie kwestią kluczową dla wszystkich przedsiębiorstw. Zestawienie komponentów oprogramowania (SBOM) to bardzo przydatne narzędzie, które pomaga organizacjom identyfikować i monitorować składniki oprogramowania. Dzięki temu użytkownicy są w pełni informowani o potencjalnych problemach związanych z bezpieczeństwem lub wydajnością.
Następnie zbuduj swoją strategię SBOM, korzystając z najnowszych spostrzeżeń Splunk na temat bezpieczeństwa wykraczającego poza zgodność . Jeśli podobała Ci się lektura tego artykułu, udostępnij go w mediach społecznościowych, klikając przycisk Facebook, Twitter lub LinkedIn na górze!