AI Hacking - Hogyan használják a hackerek a mesterséges intelligenciát a kibertámadásokban?

Olvassa el most
A helyszíni fordításokhoz mesterséges intelligenciát használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os pontosságúak. Megértését nagyra értékeljük.
Home/ Blog / A Software Bill of Materials (SBOM) magyarázata
Fájlbiztonság

A Software Bill of Materials (SBOM) magyarázata 

a OPSWAT
Ossza meg ezt a bejegyzést

A Software nagymértékben támaszkodik az előre elkészített, harmadik féltől származó komponensek felhasználására a folyamatok egyszerűsítése érdekében, amelyek közül néhány nyílt forráskódú. Ezek a komponensek a modern webes alkalmazások építőkövei, ugyanakkor sebezhetőséget is jelenthetnek, és potenciális belépési pontokat kínálnak a kiberbűnözőknek a rendszerbe. 

A szoftver összetevőinek átláthatóságához és a függőségi sebezhetőségek kezeléséhez a SBOM (software bill of materials) nevű lista vezetése elengedhetetlen az alkalmazás biztonságának, kockázatkezelésének és jogszabályi megfelelőségének megerősítéséhez. 

Tartalomjegyzék
  1. Mi az a SBOM?
  2. Milyen előnyei vannak az SBOM-nak?
  3. Kinek van szüksége SBOM-ra?
  4. SBOM típusok és meghatározások
  5. Melyek az SBOM elemei?
  6. Maradjon kompatibilis és Secure az SDLC-ben

Mi az a SBOM? 

A Software Bill of Materials (SBOM) egy alkalmazásban használt összes zárt és nyílt forráskódú komponens, könyvtár és függőség részletes leltára. Egyszerűbben fogalmazva, ahogyan egy fizikai termékhez is tartozik egy lista az alkatrészekről és anyagokról, úgy a szoftvereknek is vannak összetevői. 

A fejlesztők és a gyártók gyakran nyílt forráskódú és kereskedelmi kód kombinálásával készítenek szoftvereket. A SBOM szisztematikusan részletezi ezeket az összetevőket, hogy biztosítsa a szoftvertermékek alapkód-összetevőinek átláthatóságát és nyomon követhetőségét, elősegítve ezzel az ellátási lánc biztonságát és a szabályozásoknak való megfelelést.

Milyen előnyei vannak az SBOM-nak? 

Az SBOM alapvetően három fő előnyt biztosít: 

Átláthatóság 

Világos képet nyújt a szoftver összetételéről, lehetővé téve az érdekeltek számára - legyenek azok fejlesztők, auditorok vagy végfelhasználók -, hogy megértsék a szoftvercsomagjukba kerülő komponenseket.

Vulnerability Management 

A biztonság a szoftverfejlesztés egyik legsürgetőbb problémája. Az SBOM segítségével gyorsan meghatározhatók a szoftvertermékek összetevői, így könnyebbé válik a sebezhetőségek azonosítása, kezelése és orvoslása.

Amikor egy biztonsági tanácsadás megjelenik, az általában naprakész információkat tartalmaz a szoftverkomponensek sebezhetőségéről. Az SBOM és a legfrissebb biztonsági tanácsok kereszthivatkozásával a szervezetek gyorsan megállapíthatják, hogy alkalmazásuk veszélyben van-e, és megtehetik a szükséges enyhítő lépéseket a megfelelő biztonság érdekében.

Integráció az SDLC-benSoftware életciklus)

Ahogy a szoftver a fejlesztési folyamat során halad előre, folyamatosan frissül, a koncepcióalkotástól és a tervezéstől a telepítésig és a karbantartásig. Az SBOM dinamikus nyilvántartásként szolgál, amely biztosítja, hogy az SDLC minden szakaszában világos képet kapjunk a szoftver összetevőiről, függőségeiről és kapcsolatairól.

Kinek van szüksége SBOM-ra? 

Tágabb értelemben a szoftverfogyasztó bármely olyan kereskedelmi vagy nem kereskedelmi célú szervezet lehet, amely harmadik féltől származó komponenseket és harmadik féltől származó szoftver-hasznosító programokat szerez be a szállítóktól. Ezek a szállítók széles spektrumot ölelnek fel: 

  • Kereskedelmi szoftverkiadók
  • Szoftverkomponenseket szállító szerződéses szoftverfejlesztők
  • FOSS (Free and Open-Source Software) szállítók, akik nyílt tárolókban vagy csomagkezelőben kezelik a kódot

Ezek a beszállítók több kalapot viselnek. Lehetnek gyártók, fejlesztők, karbantartók vagy szolgáltatók. Ideális esetben ezeknek a szervezeteknek SBOM-okat is össze kell állítaniuk a szoftverképességeikhez. Egyedülálló különbség, hogy a legtöbb beszállító egyben fogyasztó is. Azonban egy olyan beszállítót, akinek nincsenek upstream komponensei, általában gyökér entitásként jelölnek meg.

SBOM a közszférában

A szövetségi ügynökségek kulcsszerepet játszanak az SBOM-szabványok elfogadásában és érvényesítésében. Felügyeletük nem csupán a referenciaértékek meghatározásáról szól, hanem a szélesebb közérdek érdekében az ezeknek a referenciaértékeknek való megfelelés biztosításáról is. A 2021 májusában kiadott 14028. számú amerikai végrehajtási rendelet több, széles hatáskörrel rendelkező ügynökséget, köztük a NIST-et (National Institute of Standards and Technology) is megbízza a kiberbiztonság fokozásával a szoftverellátási lánc biztonságával és integritásával kapcsolatos különféle kezdeményezések révén.

Az 14028. sz. végrehajtási rendelet 10. szakaszának j) pontja a SBOM-ot úgy határozza meg, mint "hivatalos nyilvántartást, amely tartalmazza a szoftver építéséhez használt különböző komponensek részleteit és ellátási láncának kapcsolatait". A SBOM-ok lehetőséget nyújtanak arra, hogy a szövetségi minisztériumok és ügynökségek által a sebezhetőségek azonosításának és orvoslásának gyorsaságát növeljék, valamint növeljék az átláthatóságot és a származást.

SBOM típusok és meghatározások 

A szoftverfejlesztés és a telepítés szakaszától függően különböző típusú SBOM-ok készülnek, amelyek mindegyike egyedi célt szolgál, és különböző betekintést nyújt a szoftverkomponensekbe. Az alábbiakban hat gyakori SBOM-dokumentumtípust mutatunk be.

Tervezés

Ebben az alkalmazásfejlesztési szakaszban néhány komponens még nem is létezik. Az ilyen típusú SBOM jellemzően egy tervezési specifikációból, RFP-ből (ajánlatkérés) vagy egy kezdeti koncepcióból származik.

Forrás

Közvetlenül a fejlesztőkörnyezetből kialakítva betekintést nyújt a forrásfájlok és a terméktárgyak létrehozásához szükséges függőségek állapotába. Általában SCA (szoftverösszetétel-elemző) eszközzel generálják, esetenként kézi pontosításra van szükség.

Build

A szoftverépítési folyamat részeként készül, és a forrásfájlok, a felépített komponensek és egyéb függőségek adatait foglalja össze. Ez különösen értékes, mivel egy kiadható szoftverartefaktum létrehozása során keletkezik.

Elemzett

Ez az SBOM a szoftver leletek, például a futtatható fájlok vagy virtuális gépi képek készítés utáni elemzéséből származik. Különböző heurisztikákat tartalmaz, és néha "harmadik féltől származó" SBOM-nak nevezik.

Telepített

A rendszerben lévő szoftverek kimerítő leltára. A rendszerekre telepített szoftverkomponensek SBOM-jának dokumentálásával készül, és betekintést nyújt a szoftverek valós telepítésébe.

Futtatási idő

Ez a valós idejű rendszerinstrumentálással létrehozott SBOM a szoftver végrehajtása során jelen lévő komponenseket rögzíti. Betekintést nyújt a dinamikus komponensekbe és a külső kapcsolatokba, és "instrumentáltnak" vagy "dinamikusnak" is nevezhető.

Melyek az SBOM elemei? 

Az NTIA (National Telecommunications and Information Administration) szerint a SBOM minimális elemei közé tartozik a szoftver szállítójának neve, a komponensek, azok verziói, az egyedi azonosítók, a függőségek kapcsolata, a SBOM-adatok szerzője és az időbélyegző. Ezenkívül a SBOM-adatoknak a következő elemeket kell tartalmazniuk ahhoz, hogy hatékonyak és átfogóak legyenek: 

  • Adatmezők: Világosan meghatározott adatmezőkkel kell rendelkeznie, amelyek részletezik a szoftver összetevőinek nevét, verzióit és attribútumait. Ez garantálja, hogy minden érdekelt fél alaposan megértse a szoftver összetételét. 
  • Automatizálási támogatás: Tekintettel a szoftverfejlesztés dinamikus jellegére, az SBOM-nak képesnek kell lennie az automatikus frissítésre és a szoftverfejlesztési és telepítési pipelinesbe való integrálásra. Ez biztosítja a valós idejű pontosságot és hatékonyságot. 
  • Gyakorlatok és folyamatok: Az összetevők felsorolásán túlmenően az SBOM-ot be kell ágyazni a létrehozását, karbantartását és felhasználását szabályozó legjobb gyakorlatokba és folyamatokba. 

SBOM formátumok

A népszerű SBOM-formátumok a következők:

  • SPDXSoftware Package Data Exchange) - a Linux Alapítvány által kifejlesztett szoftvercsomag-csereprogram
  • CycloneDX-gyakran használják az alkalmazás biztonságához
  • SWIDSoftware Identification Tagging) - az ISO/IEC 19770-2 által meghatározott SWIDSoftware Identification Tagging)

Az egyes komponensek katalogizálásával az SBOM lehetővé teszi a szervezetek számára, hogy egyértelműen azonosítsák az egyes szoftverekhez kapcsolódó licenceket, így biztosítva, hogy megfeleljenek a licencfeltételeknek, és elkerüljék a lehetséges jogi buktatókat.

Maradjon kompatibilis és Secure az SDLC-ben 

Az ellátási láncot érő támadások növekedése miatt a szövetségi kormányzat és a magánszektor felismerte a szoftverazonosítás fontosságát. Az SBOM alapvető fontosságú a szoftverkomponensek, különösen a harmadik féltől származó komponensek részletezésében. Az SBOM-adatok segítik a sebezhetőségek megelőzését és biztosítják az SBOM létrehozásának átláthatóságát. A biztonsági intézkedések megerősítése érdekében minden szoftvernek tartalmaznia kell egy átfogó SBOM-ot. 

Az egyes komponensek katalogizálásával az SBOM lehetővé teszi a szervezetek számára, hogy egyértelműen azonosítsák az egyes szoftverekhez kapcsolódó licenceket, így biztosítva, hogy megfeleljenek a licencfeltételeknek, és elkerüljék a lehetséges jogi buktatókat. 

OPSWAT SBOM segítségével a fejlesztők azonosíthatják az ismert sebezhetőségeket, érvényesíthetik a licenceket, és komponensleltárt készíthetnek az OSS (nyílt forráskódú szoftverek), a harmadik féltől függő függőségek és a konténerek számára. Ha többet szeretne megtudni a szoftverellátási lánc robusztus SBOM-megoldásokkal történő biztosításáról, látogasson el az OPSWAT Software Supply Chain Security megoldására.

Beszéljen egy szakértővel
Címkék:

Legutóbbi hozzászólások

Iratkozzon fel az OPSWAT hírlevélre

Kapja meg az OPSWAT legfrissebb vállalati frissítéseit, valamint eseményinformációkat és az iparágat előrevivő hírekről.
Sign Me Up

Kövessen minket a közösségi oldalakon Media

Kövesse az OPSWAT oldalt a LinkedIn-en, Facebookon, Twitteren és YouTube-on!

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.
Feliratkozás