Valoarea listei de materiale software (SBOM)
Publicat: 2023-11-28Dacă v-ați gândit un moment la siguranța lanțului de aprovizionare în ultimul an, probabil că sunteți familiarizat cu termenul „Bloc de materiale software”, prescurtat în SBOM. În forma sa cea mai simplă, un SBOM poate fi comparat cu lista de ingrediente a unui software; cu toate acestea, în termeni reali, este mult mai sofisticat.
În întreprinderile de astăzi bazate pe digital – cu o mare dependență de revânzători de software, instrumente open-source și aplicații cu etichetă albă – valoarea de a avea o listă de materiale software nu poate fi exagerată.
Definirea SBOM: Ce este un Software Bill of Materials (SBOM)?
O listă de materiale software este o listă a componentelor fundamentale (cum ar fi resursele de cod) utilizate pentru construirea unui produs. Oferă informații și detalii care pot fi citite de mașină, care descriu conexiunile dintre diferitele elemente software din lanțul dvs. de aprovizionare.
SBOM se referă în esență la integritatea „materialelor” digitale cu care se lucrează, concentrându-se pe încredere și securitate. Ei pot identifica componentele din care este alcătuită o bucată de software, de unde au provenit aceste fișiere, cum au fost construite și dacă au fost semnate în siguranță de persoane de încredere.
SBOM-urile sunt un instrument pe care dezvoltatorii de software și consumatorii îl pot folosi pentru a stimula încrederea și credibilitatea în ciclul de viață al dezvoltării și distribuției software.
Gartner estimează că până în 2025, 60% dintre organizațiile care dezvoltă sau achiziționează software pentru infrastructura critică vor fi obligate să utilizeze SBOM, o creștere bruscă de la mai puțin de 20% în 2022. Să examinăm de ce și care este valoarea unei facturi de software. materiale.
SBOM și securitatea cibernetică: de ce este esențială menținerea listei de materiale software
Atât în sectorul public, cât și în cel privat, atacurile cibernetice sunt acum prea comune. În a doua jumătate a anului 2022, numărul de intruziuni împotriva sectoarelor guvernamentale a crescut cu 95% în comparație cu aceeași perioadă din 2021.
Se anticipează că impactul economic global al atacurilor cibernetice va crește dramatic de la 8,44 trilioane de dolari în 2022 la 23,84 trilioane de dolari în 2027.
Acesta este motivul pentru care întreprinderile, grupurile de susținere a securității cibernetice și chiar guvernele promovează SBOM ca o parte importantă a infrastructurii digitale – și nu un lucru plăcut de a avea.
De fapt, Ordinul executiv al SUA (EO) 14028 din mai 2021, intitulat „Îmbunătățirea securității cibernetice a națiunii”, impune utilizarea SBOM-urilor pentru a consolida securitatea bazelor de date federale din SUA. Face ca lista de materiale a software-ului să fie obligatorie pentru orice furnizor de software care lucrează cu o agenție guvernamentală.
În cele din urmă, dacă companiile nu știu ce este în interiorul software-ului lor, nu pot înțelege sau evalua pe deplin riscul pe care acesta îl aduce companiei sau posibililor clienți din aval.
Cazuri de utilizare ale SBOM
Pe lângă faptul că vă oferă vizibilitate asupra software-ului terță parte, facilitând astfel abordarea atacurilor lanțului de aprovizionare, lista de materiale a software-ului ajută la:
Consolidarea relațiilor vânzător-cumpărător
Atât dezvoltatorii de software, cât și utilizatorii lor trebuie să aibă încredere în software-ul cu care lucrează. Metadatele conținute într-un SBOM pot fi folosite de persoane pentru a verifica integritatea software-ului și pentru a recunoaște rapid componentele defecte sau vulnerabile care le-ar putea afecta sistemele și procesele.
În mod similar, SBOM-urile pot evidenția măsurile de siguranță pe care dezvoltatorii de software trebuie să le ia pentru a crea software sigur, de ultimă generație.
Efectuarea unor analize de vulnerabilitate mai cuprinzătoare
Companiile pot inspecta componentele SBOM pentru vulnerabilități. Dacă există o problemă, vor fi atenți și la ce dependențe să remedieze. O vulnerabilitate este un defect care poate fi exploatat de către actori rău intenționați care doresc să deterioreze software-ul sau să dăuneze sistemului pe care operează.
SBOM-urile se pot asigura că software-ul utilizat este actualizat în mod regulat și în cel mai recent avatar al său. Dacă nu, puteți efectua o analiză de risc numai asupra componentelor depășite, în loc să aruncați resurse pentru o revizuire a software-ului în întregime.
Furnizarea de software de mai bună calitate
După cum spune vechea zicală, „Spune ceea ce faci, fă ceea ce spui” Într-o ordine similară, acțiunea de a crea și de a evalua un SBOM ajută, de obicei, dezvoltatorii să determine dacă versiunea software este într-adevăr la starea sa cea mai optimă.
Este consecvent și repetabil? SBOM generat reflectă ceea ce inginerii cred că este conținut în software? Sau, există o prăpastie? Majoritatea generatoarelor SBOM descoperă cel puțin câteva elemente despre software-ul despre care furnizorul nu știa, ceea ce le permite să îmbunătățească calitatea software-ului și să publice doar cele mai bune versiuni.
Îmbunătățirea procesului decizional pentru achiziții
Utilizarea SBOM-urilor oferite de furnizorii terți de software permite managerilor de achiziții să ia decizii mai informate de cumpărare de software. Cu o listă de materiale software, specialiștii în achiziții IT pot merge „sub capota” software-ului pentru a-și da seama cum funcționează înainte de a cumpăra.
În cazul în care SBOM nu este disponibil înainte de cumpărare, puteți profita de acest caz de utilizare într-o fereastră rezonabilă după cumpărare - înainte ca blocarea furnizorului să se poată instala - și să schimbați furnizorul dacă este necesar.
Construirea de sisteme interoperabile de întreprindere
Arhitecții întreprinderii sunt responsabili de construirea cadrului tehnologic al unei companii. Ca și în cazul unui arhitect de clădiri, este mult mai simplu să alcătuiți o stivă de tehnologie dacă înțelegeți fiecare dintre elementele resurselor disponibile. Acest lucru este valabil mai ales pentru fuziuni și achiziții, unde arhitecții nu au vizibilitate completă asupra provenienței, capabilităților și limitărilor software-ului.
Consolidarea răspunsului la incidentele de securitate
SBOM-urile pot servi drept validare pentru constatările și recomandările evenimentelor - un indicator direcțional al faptului care a mers prost. Ca dovezi justificative, SBOM ajută la investigarea incidentului și la evaluarea efectului acestuia asupra sistemelor concurente sau a versiunilor anterioare ale sistemului.
În timpul și după un incident, SBOM-urile pot facilita, de asemenea, interacțiunile dintre colaboratori, grupuri afectate și clienți.
Validarea faptului că conținutul enumerat de un SBOM era destul de precis în momentul difuzării și că nu existau vulnerabilități identificate sau nerezolvate este o aplicare suplimentară a SBOM-urilor în managementul răspunsului la incident.
Acest lucru poate reduce riscul juridic și responsabilitățile pentru companiile care s-au confruntat cu o încălcare a datelor sau un incident de gravitate egală.
Considerații de întreprindere pentru utilizarea SBOM: Cum să-și maximizeze valoarea
Este responsabilitatea vânzătorului să asambleze, să formateze și să furnizeze o listă completă de materiale software pentru utilizarea dvs. Cu toate acestea, obținerea SBOM nu este suficientă; întreprinderile au nevoie de o strategie de guvernanță pentru a direcționa SBOM-urile către cele mai valoroase cazuri de utilizare.
Aflați ce furnizori să trimită o solicitare SBOM
Deoarece resursele vin în general cu o limită fixă de utilizare, trebuie să începeți cu o analiză a impactului asupra afacerii pentru a determina cei mai esențiali furnizori de servicii și soluții software comerciale sau COTS.
Pentru unele companii cu standarde de securitate stricte, toți furnizorii cu orice fel de efect asupra datelor organizației vor fi obligați să trimită un SBOM. Pentru alte părți, poate doar un subset de furnizori cheie de servicii trebuie să facă parte din acest proces.
De asemenea, esențial de luat în considerare este nivelul de expertiză al furnizorilor dvs. Un furnizor corporativ consacrat va fi mai pregătit să vă ofere ceea ce aveți nevoie în comparație cu un startup prost.
Decideți cadența actualizărilor SBOM și utilizați automatizarea
De asemenea, este important de luat în considerare regularitatea cu care trebuie să trimiteți SBOM. În anumite industrii, clienții pot solicita actualizări ori de câte ori software-ul este actualizat.
Acest lucru se poate întâmpla în mod continuu – orar sau zilnic – pentru platformele SaaS, dar acest nivel de frecvență ar suprasolicita furnizorii cu sarcinile de colectare și livrare a datelor SBOM. De obicei, este de preferat să solicitați „priviri sau instantanee” ale produselor SBOM la intervale programate (zilnic, cu fiecare versiune nouă etc.).
Verificați dacă contractul dvs. include un acord oficial privind nivelul de servicii (SLA) pentru livrarea SBOM.
Stabiliți un flux de lucru pentru schimbul SBOM și controlul versiunilor
O cutie poștală plină cu fișiere JSON și XML este o modalitate ineficientă de a gestiona datele. Cel puțin, organizațiile necesită o metodă structurată pentru monitorizarea și supravegherea versiunii fiecărui SBOM.
În mod ideal, aveți nevoie de un sistem care să poată ingera, decoda și evalua informațiile conținute. Datele SBOM pot fi ingerate de platforme precum Anchore și Mend.io pentru a trimite alerte automate și pentru a efectua analize automate de securitate, printre alte caracteristici.
Pasii urmatori
Pentru a consolida și mai mult protocoalele de securitate ale organizației dvs., conectați SBOM-urile cu instrumente de administrare a vulnerabilităților. De exemplu, scanerele de aplicații sau containere pot folosi datele SBOM pentru a căuta vulnerabilități și riscuri recunoscute.
Pe măsură ce frecvența atacurilor cibernetice crește, siguranța lanțului de aprovizionare este acum un aspect esențial pentru toate întreprinderile. Lista de materiale software (SBOM) este un instrument extrem de benefic care ajută organizațiile să identifice și să monitorizeze componentele software. De asemenea, îi ține pe utilizatori la curent cu potențialele probleme de siguranță sau eficiență.
Apoi, construiți-vă strategia SBOM cu cele mai recente informații Splunk privind securitatea dincolo de conformitate . Dacă ți-a plăcut să citești acest articol, distribuie-l pe rețelele sociale făcând clic pe butonul Facebook, Twitter sau LinkedIn din partea de sus!