Етикетка складу, якої завжди бракувало програмному забезпеченню

9 грудня 2021 року дослідник безпеки виявив вразливість у Java-бібліотеці під назвою Log4j. Протягом 72 годин сотні мільйонів систем опинилися під загрозою.

Проблема полягала не лише у вразливості. Проблема полягала у видимості. Більшість компаній не знали, чи використовується Log4j у їхньому власному програмному забезпеченні.

Цей момент перетворив Software Bill of Materials (SBOM) на пріоритет для керівництва компаній.

SBOM — це інвентаризація кожного компонента вашого програмного забезпечення. Вона працює як етикетка складу для коду. У ній перелічені бібліотеки з відкритим кодом, сторонні пакети та внутрішні частини. Вона містить версії та ліцензії.

Сучасне програмне забезпечення є складним. Одна програма часто використовує від 500 до 1500 сторонніх компонентів. Ви не зможете відстежувати їх вручну.

Сьогодні існують два основні стандарти:

• SPDX: зосереджується на відповідності ліцензіям. Підходить для юридичних відділів. • CycloneDX: зосереджується на безпеці. Підходить для команд DevSecOps.

Швидкість вашої реакції залежить від наявності SBOM. Під час кризи Log4j компанії, які мали SBOM, виявили свої ризики за лічені години. Компанії без них витрачали тижні на ручні аудити.

Нещодавні атаки, такі як XZ Utils, доводять, що ця прогалина все ще існує. Зловмисники ховають бекдори у поширених бібліотеках. Без автоматизації ви їх не помітите.

Регуляції також змінюються:

• Указ президента США 14028: федеральні постачальники повинні надавати SBOM. • Настанови FDA: медичні пристрої потребують SBOM. • Закон ЄС про кіберстійкість (EU Cyber Resilience Act): вимагає наявності SBOM для програмного забезпечення в ЄС до 2027 року.

Як почати:

  1. Оберіть стандарт. Використовуйте CycloneDX для безпеки або SPDX для ліцензій.
  2. Автоматизуйте створення. Використовуйте такі інструменти, як Syft для образів або Snyk для пайплайнів.
  3. Підключіть бази даних. Зв'яжіть свій список із NIST NVD або OSV.
  4. Встановіть графік. Генеруйте SBOM під час кожної збірки.

Не намагайтеся виправити весь свій портфель одразу. Почніть з одного додатка.

Пам'ятайте, що SBOM — це діагностичний інструмент. Він повідомляє вам, що саме ви маєте. Він не вирішує проблему за вас. Якщо SBOM показує 23 вразливості, вам все одно потрібен план для їх усунення.

Найкращі компанії мають не лише інструменти. Вони мають процес. Вони знають, хто відповідає за залежність ще до того, як настане криза.

Source: https://dev.to/spicykim/the-nutrition-label-that-software-always-lacked-213 Full details: lucas8.com/what-is-sbom-software-bill-of-materials