O valor da lista de materiais de software (SBOM)
Publicados: 2023-11-28Se você pensou um pouco sobre a segurança da cadeia de suprimentos no ano passado, provavelmente conhece o termo “lista de materiais de software”, abreviado para SBOM. Na sua forma mais simples, um SBOM pode ser comparado à lista de ingredientes de um software; no entanto, em termos reais, é muito mais sofisticado.
Nas empresas atuais orientadas para o digital – com grande dependência de revendedores de software, ferramentas de código aberto e aplicativos de marca branca – o valor de ter uma lista de materiais de software não pode ser exagerado.
Definindo SBOM: O que é uma lista de materiais de software (SBOM)?
Uma lista de materiais de software é uma lista dos componentes fundamentais (como recursos de código) usados para construir um produto. Ele oferece informações legíveis por máquina e detalhes que descrevem as conexões entre os vários elementos de software em sua cadeia de suprimentos.
Os SBOMs tratam essencialmente da integridade dos “materiais” digitais com os quais se trabalha, com foco na confiança e segurança. Eles podem identificar os componentes que compõem um software, a origem desses arquivos, como foram criados e se foram assinados com segurança por pessoas confiáveis.
SBOMs são uma ferramenta que os desenvolvedores e consumidores de software podem usar para promover a confiança e a credibilidade no ciclo de vida de desenvolvimento e distribuição de software.
O Gartner estima que até 2025, 60% das organizações que desenvolvem ou adquirem software para infraestruturas críticas serão obrigadas a usar SBOMs, um aumento acentuado em relação aos menos de 20% em 2022. Vamos examinar o porquê e qual é exatamente o valor de uma fatura de software de materiais.
SBOM e segurança cibernética: por que manter a lista de materiais de software é fundamental
Tanto no setor público como no privado, os ataques cibernéticos são agora demasiado comuns. No segundo semestre de 2022, o número de invasões contra setores governamentais aumentou 95% em comparação com o mesmo período de 2021.
Prevê-se que o impacto económico global dos ataques cibernéticos aumentará dramaticamente de 8,44 biliões de dólares em 2022 para 23,84 biliões de dólares em 2027.
É por isso que as empresas, os grupos de defesa da segurança cibernética e até os governos estão a promover o SBOM como uma parte importante da infraestrutura digital – e não como algo bom de se ter.
Na verdade, a Ordem Executiva (EO) 14028 dos EUA, de maio de 2021, intitulada “Melhorar a segurança cibernética da nação”, determina o uso de SBOMs para reforçar a segurança das bases de dados federais dos EUA. Torna a lista de materiais de software obrigatória para qualquer fornecedor de software que trabalhe com uma agência governamental.
Em última análise, se as empresas não souberem o que está dentro do seu software, não conseguirão compreender ou avaliar totalmente o risco que isso representa para a empresa ou para possíveis clientes a jusante.
Casos de uso de SBOM
Além de fornecer visibilidade sobre software de terceiros, facilitando assim o combate a ataques à cadeia de suprimentos, a lista de materiais de software ajuda a:
Fortalecendo o relacionamento fornecedor-comprador
Tanto os desenvolvedores de software quanto seus usuários precisam ter fé no software com o qual estão trabalhando. Os metadados contidos em um SBOM podem ser usados por indivíduos para verificar a integridade do software e reconhecer rapidamente componentes defeituosos ou vulneráveis que poderiam impactar seus sistemas e processos.
Da mesma forma, os SBOMs podem destacar as medidas de segurança que os desenvolvedores de software precisam tomar para criar software seguro e de última geração.
Conduzindo análises de vulnerabilidade mais abrangentes
As empresas podem inspecionar os componentes do SBOM em busca de vulnerabilidades. Se existir um problema, eles também estarão atentos a quais dependências corrigir. Uma vulnerabilidade é um defeito que pode ser explorado por agentes mal-intencionados que procuram danificar o software ou o sistema em que ele opera.
Os SBOMs podem garantir que o software em uso seja atualizado regularmente e em seu avatar mais atual. Caso contrário, você pode realizar uma análise de risco apenas nos componentes obsoletos, em vez de desperdiçar recursos em uma revisão do software em sua totalidade.
Entregando software de melhor qualidade
Como diz o velho ditado: “Diga o que você faz, faça o que você diz”. Na mesma linha, o ato de criar e avaliar um SBOM normalmente ajuda os desenvolvedores a determinar se a construção do software está realmente em seu estado ideal.
É consistente e repetível? O SBOM gerado reflete o que os engenheiros acreditam estar contido no software? Ou existe um abismo? A maioria dos geradores SBOM descobre pelo menos alguns itens sobre o software que o fornecedor desconhecia, o que lhes permite melhorar a qualidade do software e publicar apenas as melhores compilações.
Melhorando a tomada de decisões para compras
O uso de SBOMs oferecidos por fornecedores de software terceirizados permite que os gerentes de compras tomem decisões de compra de software mais informadas. Com uma lista de materiais de software, os especialistas em compras de TI podem ir “nos bastidores” do software para descobrir como ele funciona antes de comprá-lo.
Caso o SBOM não esteja disponível antes da compra, você pode aproveitar esse caso de uso dentro de um período razoável após a compra – antes que a dependência do fornecedor possa se estabelecer – e trocar de fornecedor, se necessário.
Construindo sistemas empresariais interoperáveis
Os arquitetos corporativos são responsáveis pela construção da estrutura tecnológica de uma empresa. Tal como acontece com um arquiteto de construção, é muito mais simples montar uma pilha de tecnologia se você compreender cada um dos elementos dos recursos disponíveis. Isto vale especialmente para fusões e aquisições, onde os arquitetos não têm visibilidade total da origem, capacidades e limitações do software.
Reforçando a resposta a incidentes de segurança
Os SBOMs podem servir como validação para descobertas e recomendações de eventos – um indicador direcional do que deu errado. Como prova de apoio, o SBOM auxilia na investigação do incidente e na avaliação do seu efeito em sistemas concorrentes ou versões anteriores do sistema.
Durante e após um incidente, os SBOMs também podem facilitar as interações entre colaboradores, grupos afetados e clientes.
Validar que os conteúdos enumerados por um SBOM eram bastante precisos no momento da disseminação e que não existiam vulnerabilidades identificadas ou não resolvidas é uma aplicação adicional dos SBOMs na gestão de resposta a incidentes.
Isto pode reduzir riscos e responsabilidades legais para empresas que enfrentaram uma violação de dados ou um incidente de igual gravidade.
Considerações empresariais para usar o SBOM: como maximizar seu valor
É responsabilidade do fornecedor montar, formatar e fornecer uma lista completa de materiais de software para seu uso. Porém, obter o SBOM não é suficiente; as empresas precisam de uma estratégia de governança para encaminhar os SBOMs para os casos de uso mais valiosos.
Saiba quais fornecedores enviar uma solicitação SBOM
Como os recursos geralmente vêm com um limite fixo de uso, você precisa começar com uma análise de impacto nos negócios para determinar seus provedores de serviços mais essenciais e soluções de software comerciais prontas para uso ou COTS.
Para algumas empresas com padrões de segurança rigorosos, todos os fornecedores que tenham qualquer tipo de efeito nos dados da organização serão obrigados a enviar um SBOM. Para outras partes, talvez apenas um subconjunto dos principais prestadores de serviços precise de fazer parte deste processo.
Também é essencial considerar o nível de especialização de seus fornecedores. Um fornecedor corporativo estabelecido estará mais preparado para entregar o que você precisa quando comparado a uma startup fragmentada.
Decida a cadência das atualizações do SBOM e use a automação
Também é importante considerar a regularidade com que você precisa enviar SBOMs. Em determinados setores, os clientes podem exigir atualizações sempre que o software for atualizado.
Isso pode ocorrer continuamente – de hora em hora ou diariamente – para plataformas SaaS, mas esse nível de frequência sobrecarregaria os fornecedores com tarefas de coleta e entrega de dados SBOM. Normalmente, é preferível solicitar “vislumbres ou instantâneos” de produtos ao SBOM em intervalos programados (diariamente, a cada nova versão, etc.).
Verifique se o seu contrato inclui um Acordo de Nível de Serviço (SLA) oficial para entrega SBOM.
Estabeleça um fluxo de trabalho de troca SBOM e controle de versão
Uma caixa de correio cheia de arquivos JSON e XML é uma forma ineficaz de gerenciar dados. No mínimo, as organizações exigem um método estruturado para monitorar e supervisionar a versão de cada SBOM.
Idealmente, você precisa de um sistema que possa ingerir, decodificar e avaliar as informações contidas. Os dados SBOM podem ser ingeridos por plataformas como Anchore e Mend.io para enviar alertas automatizados e realizar análises automatizadas de segurança, entre outros recursos.
Próximos passos
Para fortalecer ainda mais os protocolos de segurança da sua organização, conecte SBOMs com ferramentas de administração de vulnerabilidades. Por exemplo, scanners de aplicativos ou contêineres podem usar dados SBOM para procurar vulnerabilidades e riscos reconhecidos.
À medida que a frequência dos ataques cibernéticos aumenta, a segurança da cadeia de abastecimento é agora uma consideração essencial para todas as empresas. A lista de materiais de software (SBOM) é uma ferramenta altamente benéfica que ajuda as organizações a identificar e monitorar componentes de software. Ele também mantém os usuários totalmente informados sobre possíveis problemas de segurança ou eficiência.
A seguir, desenvolva sua estratégia SBOM com os insights mais recentes do Splunk sobre segurança além da conformidade . Se você gostou de ler este artigo, compartilhe-o nas redes sociais clicando no botão Facebook, Twitter ou LinkedIn na parte superior!