SCSW Yazılım malzeme listelerinden (SBOM’ler) bahsederken yapılan ortak benzetme, gıda paketlerinde bulunan ve tüketicilerin yemek üzere oldukları patates cipsinde ne olduğunu bilmelerini sağlayan içerik listesidir.
Aynı şekilde, bir SBOM bir yazılım parçasındaki bileşenlerin bir envanteridir, uygulamaların çoğu bir kuruluşun geliştirme ekibi dışından olmak üzere birden çok kaynaktan gelen bir kod koleksiyonu olduğu bir zamanda çok önemli bir araçtır.
“Bir SBOM söz konusu olduğunda, aynı derecede önemlidir [as the nutrition labels on food] ArmorCode ürün başkan yardımcısı Mark Lambert, “çünkü risk fiziksel sağlığınız için değil, işiniz için risktir” dedi. Kayıt. “Yazılım tüketirken işinizi potansiyel olarak maruz bırakma riski, yazılımın nelerden oluştuğunu anlamamanızdır.”
Bu olduğunda, “kendinizi … kontrolünüz dışındaki bir güvenlik açığına maruz bırakıyorsunuz. Bunu göremiyorsanız, aşırı derecede maruz kalmadığınızdan emin olmak için önlem alamazsınız.”
Bu nedenle, son birkaç yılda SBOM’lar genişlemenin merkezi haline geldi. yazılım tedarik zinciri tehdit seviyeleri arttıkça yönetim resmi. Açık kaynaklı yazılımların ve yeniden kullanılabilir yazılım bileşenlerinin artan kullanımı, birden çok kaynaktan gelen katkılar, hızlanan kod yayınlama temposu ve sürekli entegrasyon ve sürekli teslim (CI/CD) boru hatları sayesinde, modern geliştirme daha hızlı ve daha karmaşık hale geldi.
Lambert, “Yazılım tedarik zinciri daha karmaşık hale geldikçe, üçüncü taraf kitaplıklarının, hizmetlerinin, API’lerinin veya araçlarının bir parçası olarak dolaylı olarak hangi açık kaynağı kullandığınızı bilmek çok önemlidir.”
Kötü niyetli kişiler, geliştirme sürecinin herhangi bir noktasında kötü amaçlı kod enjekte ederek veya bir bileşendeki güvenlik açıklarından yararlanarak yukarı akışa geçebileceklerini ve birden çok sisteme bulaşabileceklerini bilirler. SolarWinds ihlali 2020 yılında ve suistimal Log4j hatası.
bilme ihtiyacı
SBOM’lar, Biden Yönetimi tarafından geliştirilen ulusal siber güvenlik planında da önemli bir noktadır ve piyasaya sürülmüş Bu hafta. Kuruluşlara yalnızca getirdikleri yazılımı hangi bileşenlerin oluşturduğunu değil, aynı zamanda orada hangi kodun olduğunu da söylerler.
Tidelift’in kurucu ortağı ve CEO’su Donald Fischer, SBOM’ların “yalnızca yazılımınızdaki bileşenleri değil, aynı zamanda bazen geçişli bağımlılıklar olarak adlandırılan bu bileşenlerin bileşenlerini de bilmenizi” sağladığını söyledi. Kayıt. “Açık kaynakta birçok paket, kullandığınızın farkında olsanız da olmasanız da diğer paketleri çağırıyor ve SBOM’ler bu ilişkileri tam olarak anlamanıza yardımcı olabilir.”
keşfi Apache Log4j Aralık 2021’deki kusur, teknoloji dünyasında şok dalgaları yarattı çünkü yaygın olarak kullanılan günlük kaydı aracı, tek bir kötü amaçlı kod enjeksiyonu yoluyla savunmasız sistemleri tehlikeye atmak için geniş çapta istismar ediliyordu.
Kullanımı o kadar genişti ki çoğu kuruluş etkilendiklerini bilmiyordu. Güvenlik açığının gün ışığına çıkmasından sonraki haftalar içinde, raporlar Saatte 10 milyon Log4j istismar denemesi.
ArmorCode’dan Lambert, “Log4j, yazılımın büyük çoğunluğunda kullanılıyor” dedi ve bunun SBOM’lara olan ihtiyacı vurguladığını da sözlerine ekledi. “Ne zaman [the flaw in] Log4j tespit edildi, güvenlik açığına anında hepimiz maruz kaldık. Log4j her şeyi keskin bir şekilde odağa alır. Sorun bir süredir var.”
SBOM’lar sahneye çıkıyor
SBOM fikri nispeten yenidir. 2018 yılında ABD Tarım Bakanlığı’nın bir bölümü olan Ulusal Telekomünikasyon ve Bilgi İdaresi ile ortaya çıkmış ve standartları üç yıl sonra yayınlanmıştır. Başkan Biden’ın icra emri Mayıs 2021’de federal hükümeti, her ikisi de devlet kurumlarını etkileyen SolarWinds ve Log4j’nin ardından BT güvenliğini iyileştirmeye çağırdı.
TAG Cyber kıdemli araştırma analisti John Masserini, “Tipik olarak olduğu gibi, EO, SBOM’yi sahip olunması güzel bir özellikten, şu anda çoğu devlet kurumu ve büyük kuruluş tarafından değerlendirilen yarı zorunlu bir çözüme yükseltti.” Blog yazısı ReversingLabs için.
Zorluklardan biri, SBOM’leri uygulamanın ve yönetmenin oldukça manuel olmasıdır, bu da yöneticiler ve geliştiriciler için kötü bir haberdir. Yazılım tedarik zinciri güvenliği hakkında konuşurken süregiden bir gerilim, güvenlik taleplerinin modern yazılım geliştirmenin artan hızını engellememesini sağlamaktır.
Otomasyon anahtardır
Bu nedenle SBOM sürecini otomatikleştirmek önemlidir. NIST’ler standart kullanılan yazılım bileşeninden ve sağlayıcısından sürüm numaralarına ve bileşenin deposuna erişime kadar birçok öğeyi içerir. Versiyon seviyeleri, yayın seviyelerine, bulunan potansiyel tehditlere ve belirlenen risklere göre değerlendirilmelidir.
“Açık kaynaklı işletim sistemlerinden kurum içi geliştirilen uygulamalara, üçüncü taraf ‘büzülen’ yığınlara kadar büyük uygulamaları çözmek, tümü hataya açık olan bağlamsal zorluklar, envanter yöntemleri ve manuel doğrulama ile doludur. “Masserini yazıyor.
Sorunları belirleme ve raporlama süreci kodlanmış olsa da, “böyle bir envanteri manuel olarak tutma ve içeriğini tutarlı bir şekilde doğrulama sorununu ele almıyor” diyor.
Lambert, SBOM’lerin oluşturulması ve yayınlanmasından bunların alınmasına kadar sürecin her adımına otomasyon konulması ve ardından yeni iş akışlarını benimsemek zorunda kalmadan mevcut uygulama güvenlik programlarına güvenlik açığı iyileştirmesi getirilmesi gerektiğini söylüyor.
SBOM’lar ile ne yapılmalı
Başka hususlar da var. SBOM’lar çok fazla bilgi sağlar, ancak kuruluşların bunu nasıl kullanacaklarına karar vermeleri gerekir. Tidelift’ten Fischer, “SBOM”nun daha geniş bir yazılım tedarik zinciri sorunları kümesi için uygun bir tümünü yakalama kısaltması olduğunu söyledi.
Ayrıca, tedarik zinciri boyunca dahili bir sistemden doğan yazılım yapılarının bütünlüğünü sağlamaya yönelik bir çerçeve olan SLSA (Yazılım Eserleri için Tedarik Zinciri Düzeyleri) gibi daha büyük bir tedarik zinciri güvenlik teknolojileri önbelleğinin parçasıdırlar. Google aracı ve şimdi bir endüstri projesi Intel, VMware, The Linux Foundation ve Cloud Native Computing Foundation gibi kuruluşları içerir.
“SBOM’lar kendi başlarına sihirli değnek değildir” dedi. “Neyde iyi olduklarını ve nerede daha az yararlı olduklarını anlamalıyız. Yazılımınıza giren bileşenleri anlamanıza yardımcı olma konusunda iyiler. Bu bileşenlerin güvenlik profilini fiilen iyileştirmek için çok daha az kullanışlılar.”
Birkaç temel standart SBOM formatı vardır – Yazılım Paket Veri Alışverişi (SPDX), CycloneDX ve Yazılım Tanımlama (SWID) Etiketleme.
Lambert, şu anda ihtiyaç duyulan şeyin, şirketlerin kusurlar hakkında bilgi paylaşabilecekleri güvenli ve merkezi bir güvenlik açığı değişimi olduğunu söyledi. SBOM verilerine sahip olmak faydalıdır, ancak bir güvenlik açığı ortaya çıkarsa, bununla ilgili iletişim hala noktadan noktayadır ve bu bilgilerin daha hızlı ve yaygın olarak paylaşılması gerekir, diye düşündü.
Bakıcılara ödeme yapın
Fischer, ortaya çıkan bir başka sorunun da, SBOM’lar ve benzerlerinin, çoğu uygulamada kullanılan açık kaynaklı yazılımları sürdürenler için daha fazla iş anlamına gelmesidir. Ve bakıcıların çoğu – Fischer’e göre yüzde 60’ı – ücretsiz, esasen gönüllüler.
“Güvenli geliştirme uygulamalarının uzun kontrol listelerini ele almak için genellikle uyumdan, çok daha az teşvikten yoksunlar” dedi. “SolarWinds ve Log4j’yi etkileyenler gibi yüksek profilli güvenlik açıklarının ardından hükümetin ve endüstrinin siber güvenliğe artan ilgisinin olduğu bir ortamda, bu gönüllü bakıcılara yönelik talepler katlanarak artıyor.”
Güvenliği artırmak, SBOM’ler gibi araçlar ve insanlar gerektirir. Şirketlerin yazılım güvenliğinden sorumlu herkese yaptığı gibi, açık kaynak bakım sağlayıcılarına ödeme yapmaya başlamanın zamanı geldi.
Tedarik zincirinin güvenliği için kullanılan birçok araç gibi SBOM’lar da nispeten yenidir ve olgunlaşmaya ihtiyaçları vardır. Suçluların tedarik zincirine saldırmanın yollarını bulma hızı göz önüne alındığında, olgunlaşma ne kadar hızlı gerçekleşirse o kadar iyidir.
Lambert, “SBOM’un daha gidecek çok yolu var ama bu iyi bir çözüm” dedi. “Bir standardın olması kötü bir şey değil. Standardın olmaması bir problem.” ®