Стоимость спецификации программного обеспечения (SBOM)

Если вы хотя бы раз задумывались о безопасности цепочки поставок в прошлом году, вы, вероятно, знакомы с термином «Спецификация программного обеспечения», сокращенным до SBOM. В своей простейшей форме SBOM можно сравнить со списком ингредиентов программного обеспечения; однако на самом деле все гораздо сложнее.

В современных предприятиях, ориентированных на цифровые технологии, с высокой зависимостью от реселлеров программного обеспечения, инструментов с открытым исходным кодом и приложений с белой маркировкой, ценность наличия спецификации программного обеспечения невозможно переоценить.

Определение SBOM: что такое спецификация программного обеспечения (SBOM)?

Спецификация программного обеспечения — это список основных компонентов (например, ресурсов кода), используемых для создания продукта. Он предлагает машиночитаемую информацию и подробные сведения о связях между различными элементами программного обеспечения в вашей цепочке поставок.

SBOM, по сути, ориентированы на целостность цифровых «материалов», с которыми человек работает, уделяя особое внимание доверию и безопасности. Они могут идентифицировать компоненты, из которых состоит часть программного обеспечения, откуда возникли эти файлы, как они были созданы и были ли они надежно подписаны доверенными лицами.

SBOM — это инструмент, который разработчики и потребители программного обеспечения могут использовать для повышения уверенности и доверия к жизненному циклу разработки и распространения программного обеспечения.

По оценкам Gartner, к 2025 году 60% организаций, разрабатывающих или закупающих программное обеспечение для критически важной инфраструктуры, будут вынуждены использовать SBOM, что является резким ростом по сравнению с менее чем 20% в 2022 году. Давайте рассмотрим, почему и какова именно стоимость счета за программное обеспечение в 2022 году. материалы.

SBOM и кибербезопасность: почему важно поддерживать спецификацию программного обеспечения

Кибератаки стали обычным явлением как в государственном, так и в частном секторах. Во второй половине 2022 года количество вторжений в государственный сектор подскочило на 95% по сравнению с тем же периодом 2021 года.

Ожидается, что глобальное экономическое воздействие кибератак резко вырастет с 8,44 триллиона долларов США в 2022 году до 23,84 триллиона долларов США в 2027 году.

Вот почему предприятия, группы по защите кибербезопасности и даже правительства продвигают SBOM как важную часть цифровой инфраструктуры, а не как вещь, которую приятно иметь.

Фактически, Исполнительный указ США (EO) 14028 от мая 2021 года под названием «Улучшение национальной кибербезопасности» требует использования SBOM для повышения безопасности федеральных баз данных США. Он делает спецификацию программного обеспечения обязательной для любого поставщика программного обеспечения, работающего с государственным учреждением.

В конечном счете, если компании не знают, что находится внутри их программного обеспечения, они не могут полностью понять или оценить риск, который оно несет для компании или возможных последующих клиентов.

Варианты использования SBOM

Помимо предоставления вам информации о стороннем программном обеспечении, что упрощает борьбу с атаками в цепочке поставок, спецификация программного обеспечения помогает:

1. Укрепление отношений поставщик-покупатель

   И разработчики программного обеспечения, и их пользователи должны доверять программному обеспечению, с которым они работают. Метаданные, содержащиеся в SBOM, могут использоваться отдельными лицами для проверки целостности программного обеспечения и быстрого выявления неисправных или уязвимых компонентов, которые могут повлиять на их системы и процессы.

   Аналогичным образом, SBOM могут подчеркнуть меры безопасности, которые разработчики программного обеспечения должны принять для создания безопасного, современного программного обеспечения.

2. Проведение более комплексного анализа уязвимостей

   Компании могут проверять компоненты SBOM на наличие уязвимостей. Если проблема существует, они также будут помнить, какие зависимости необходимо исправить. Уязвимость — это дефект, который может быть использован злоумышленниками, желающими повредить программное обеспечение или систему, в которой оно работает.

   SBOM могут гарантировать, что используемое программное обеспечение регулярно обновляется и имеет самую последнюю версию. Если нет, вы можете провести анализ рисков только для устаревших компонентов вместо того, чтобы тратить ресурсы на проверку программного обеспечения в целом.

3. Предоставление более качественного программного обеспечения

   Как гласит старая поговорка: «Говори, что делаешь, делай, что говоришь». Аналогичным образом, создание и оценка SBOM обычно помогает разработчикам определить, действительно ли сборка программного обеспечения находится в наиболее оптимальном состоянии.

   Является ли оно последовательным и повторяемым? Отражает ли созданный SBOM то, что, по мнению инженеров, содержится в программном обеспечении? Или существует пропасть? Большинство генераторов SBOM раскрывают по крайней мере несколько сведений о программном обеспечении, о которых поставщик не знал, что позволяет им улучшать качество программного обеспечения и публиковать только лучшие сборки.

4. Улучшение процесса принятия решений по закупкам

   Использование SBOM, предлагаемых сторонними поставщиками программного обеспечения, позволяет менеджерам по закупкам принимать более обоснованные решения о покупке программного обеспечения. Имея спецификацию программного обеспечения, специалисты по ИТ-закупкам могут заглянуть «под капот» программного обеспечения, чтобы выяснить, как оно работает, перед покупкой.

   

   Если SBOM недоступен до покупки, вы можете воспользоваться этим вариантом использования в течение разумного периода времени после покупки – до того, как произойдет привязка к поставщику – и при необходимости сменить поставщика.

5. Создание совместимых корпоративных систем

   Архитекторы предприятия отвечают за построение технологической структуры компании. Как и в случае со строительным архитектором, собрать набор технологий гораздо проще, если вы понимаете каждый из элементов имеющихся ресурсов. Это особенно актуально для слияний и поглощений, когда архитекторы не имеют полной информации о происхождении, возможностях и ограничениях программного обеспечения.

6. Усиление реагирования на инциденты безопасности

   SBOM могут служить подтверждением выводов и рекомендаций событий — указателем направления того, что пошло не так. В качестве подтверждающего доказательства SBOM помогает в расследовании инцидента и оценке его влияния на параллельные системы или более ранние версии систем.

   Во время и после инцидента SBOM также могут облегчить взаимодействие между сотрудниками, пострадавшими группами и клиентами.

   Проверка того, что содержимое, перечисленное в SBOM, было достаточно точным на момент распространения и что не существовало выявленных или неустраненных уязвимостей, является дальнейшим применением SBOM в управлении реагированием на инциденты.

   Это может снизить юридические риски и ответственность для компаний, которые столкнулись с утечкой данных или инцидентом равной серьезности.

Рекомендации предприятиям по использованию SBOM: как максимизировать их ценность

Ответственность за сбор, форматирование и предоставление полной спецификации программного обеспечения для вашего использования лежит на поставщике. Однако получения SBOM недостаточно; предприятиям необходима стратегия управления, позволяющая направлять SBOM к наиболее ценным вариантам использования.

1. Знайте, каким поставщикам отправить запрос SBOM

   Поскольку ресурсы обычно имеют фиксированный лимит на использование, вам необходимо начать с анализа влияния на бизнес, чтобы определить наиболее важных поставщиков услуг и готовые коммерческие или COTS-программные решения.

   Для некоторых предприятий со строгими стандартами безопасности все поставщики, оказывающие какое-либо влияние на данные организации, будут обязаны предоставить SBOM. Для других сторон, возможно, частью этого процесса должна быть только часть ключевых поставщиков услуг.

   Также важно учитывать уровень квалификации ваших поставщиков. Признанный корпоративный поставщик будет более готов предоставить то, что вам нужно, по сравнению с беспорядочным стартапом.

2. Определите частоту обновлений SBOM и используйте автоматизацию.

   Также важно учитывать регулярность, с которой вам необходимо подавать SBOM. В некоторых отраслях клиентам могут потребоваться обновления при каждом обновлении программного обеспечения.

   Это может происходить на постоянной основе – ежечасно или ежедневно – для платформ SaaS, но такой уровень частоты перегружает поставщиков обязанностями по сбору и доставке данных SBOM. Как правило, предпочтительнее запрашивать «проблемные снимки» продуктов SBOM через определенные промежутки времени (ежедневно, с каждой новой версией и т. д.).

   Убедитесь, что ваш контракт включает официальное соглашение об уровне обслуживания (SLA) для доставки SBOM.

3. Наладьте рабочий процесс обмена SBOM и контроля версий.

   Почтовый ящик, заполненный файлами JSON и XML, — неэффективный способ управления данными. Как минимум, организациям требуется структурированный метод мониторинга и контроля версии каждого SBOM.

   В идеале вам нужна система, которая может принимать, декодировать и оценивать содержащуюся информацию. Данные SBOM могут приниматься такими платформами, как Anchore и Mend.io, для отправки автоматических оповещений и проведения автоматического анализа безопасности, а также для других функций.

Следующие шаги

Чтобы еще больше усилить протоколы безопасности вашей организации, подключите SBOM к инструментам администрирования уязвимостей. Например, сканеры приложений или контейнеров могут использовать данные SBOM для поиска обнаруженных уязвимостей и рисков.

Поскольку частота кибератак увеличивается, безопасность цепочки поставок становится важным фактором для всех предприятий. Спецификация программного обеспечения (SBOM) — это очень полезный инструмент, который помогает организациям идентифицировать и контролировать компоненты программного обеспечения. Он также полностью информирует пользователей о потенциальных проблемах безопасности или эффективности.

Затем разработайте свою стратегию SBOM, используя новейшие идеи Splunk в области безопасности за пределами соответствия . Если вам понравилось читать эту статью, поделитесь ею в социальных сетях, нажав кнопку Facebook, Twitter или LinkedIn вверху!