The Nutrition Label That Software Always Lacked
Pada 9 Desember 2021, seorang peneliti keamanan menemukan celah pada pustaka Java bernama Log4j. Dalam waktu 72 jam, ratusan juta sistem menghadapi risiko.
Masalahnya bukan sekadar kerentanan tersebut. Masalahnya adalah visibilitas. Sebagian besar perusahaan tidak tahu apakah Log4j ada di dalam perangkat lunak mereka sendiri.
Momen ini menjadikan Software Bill of Materials (SBOM) sebagai prioritas bagi jajaran direksi perusahaan.
SBOM adalah inventaris dari setiap komponen dalam perangkat lunak Anda. Ia bekerja seperti label nutrisi untuk kode. SBOM mencantumkan pustaka sumber terbuka (open-source), paket pihak ketiga, dan bagian internal. Ia juga mencakup versi dan lisensi.
Perangkat lunak modern sangatlah kompleks. Satu aplikasi sering kali menggunakan 500 hingga 1.500 bagian dari pihak ketiga. Anda tidak dapat melacaknya secara manual.
Dua standar utama yang ada saat ini:
• SPDX: Berfokus pada kepatuhan lisensi. Bagus untuk tim hukum. • CycloneDX: Berfokus pada keamanan. Bagus untuk tim DevSecOps.
Kecepatan respons Anda bergantung pada SBOM Anda. Selama krisis Log4j, perusahaan yang memiliki SBOM dapat menemukan risiko mereka dalam hitungan jam. Perusahaan tanpa SBOM menghabiskan waktu berminggu-minggu untuk audit manual.
Serangan terbaru seperti XZ Utils membuktikan bahwa celah ini masih ada. Penyerang menyembunyikan pintu belakang (backdoor) di dalam pustaka umum. Tanpa otomatisasi, Anda tidak akan melihatnya.
Regulasi juga mulai berubah:
• Perintah Eksekutif AS 14028: Vendor federal harus menyediakan SBOM. • Panduan FDA: Perangkat medis memerlukan SBOM. • EU Cyber Resilience Act: Mewajibkan SBOM untuk perangkat lunak di Uni Eropa pada tahun 2027.
Cara memulainya:
- Pilih standar. Gunakan CycloneDX untuk keamanan atau SPDX untuk lisensi.
- Otomatiskan pembuatan. Gunakan alat seperti Syft untuk gambar (images) atau Snyk untuk pipeline.
- Hubungkan ke basis data. Hubungkan daftar Anda ke NIST NVD atau OSV.
- Tetapkan jadwal. Hasilkan SBOM pada setiap proses build.
Jangan mencoba memperbaiki seluruh portofolio Anda sekaligus. Mulailah dengan satu aplikasi.
Ingat, SBOM adalah alat diagnostik. Ia memberi tahu Anda apa yang Anda miliki. Ia tidak memperbaiki masalah untuk Anda. Jika SBOM menunjukkan 23 kerentanan, Anda tetap memerlukan rencana untuk menambalnya (patching).
Perusahaan terbaik tidak hanya memiliki alat. Mereka memiliki proses. Mereka tahu siapa pemilik sebuah dependensi sebelum krisis terjadi.
Source: https://dev.to/spicykim/the-nutrition-label-that-software-always-lacked-213 Full details: lucas8.com/what-is-sbom-software-bill-of-materials
