במהדורה זו
- שיפורים עבור ספריות C/C++
- ניצול מידע PE כדי לזהות ספריות DLL/EXE
- הוסף חתימות נוספות עבור ספריות C/C++
- תמיכה בעיבוד פורמט קובץ CycloneDX
בשיפורים האחרונים שלנו עבור SBOM ( Software בטכנולוגיית Bill of Materials) גרסה 4.0.0, אנו מרחיבים את כיסוי מסד הנתונים שלנו עבור רכיבים בינאריים כגון קבצי DLL ו-EXE, משפרים את זיהוי הקבצים הבינאריים באמצעות מטא-נתונים של PE (Portable Executable), ומאפשרים אימות והעשרה עבור דוחות CycloneDX SBOM.
נקודה עיוורת בינארית
פתרונות SBOM מסורתיים מסתמכים בעיקר על מנהלי חבילות וקבצי מניפסט (למשל, requirements.txt, package.json) כדי לזהות רכיבים של צד שלישי. למרות שהיא יעילה עבור יישומים מודרניים רבים, גישה זו משאירה נקודות עיוורות משמעותיות, במיוחד בתרחישים כגון:
- פרויקטים ללא שימוש עקבי במנהל חבילות: פרויקטים של C/C++ המשלבים ספריות DLL שאינן עוקבות אחריהם על ידי מנהלי חבילות עלולים להישאר בלתי נראים לכלי יצירת SBOM.
- מתקיני Software המכילים קבצים בינאריים מוטמעים של צד שלישי: מתקיני תוכנה מכילים לעיתים קרובות תלויות בינאריות של צד שלישי ללא מטא-נתונים מפורשים, מה שמקשה על המעקב אחריהם.
- ספריות בפורמט בינארי במאגרי חפצים: מאגרי חפצים כמו JFrog Artifactory, Nexus Repository או Apache Archiva מאחסנים ספריות בפורמטים בינאריים (whl, egg, zip) ולא בקוד מקור. חבילות בינאריות אלו חסרות גם הצהרות, מה שמגביל גם את הנראות המסורתית של SBOM.
פערים אלה יוצרים סיכוני אבטחה - תלויות בינאריות נותרות בלתי נראות, חבילות מתקין אינן נבדקות, ולא ניתן לעקוב אחר פגיעויות בתלות שלא הוכרזו.
סגירת פער האבטחה הבינארי של SBOM
כדי לטפל בנקודות עיוורות קריטיות אלו, OPSWAT SBOM 4.0.0 מספק יכולות משופרות באמצעות מספר גישות משלימות:
כיסוי מורחב של מסד נתונים עבור רכיבים בינאריים
הרחבנו משמעותית את מסד הנתונים של החתימות שלנו עבור קבצים בינאריים של C, C++ ו-C# (קבצי DLL, EXE). Software צוותי פיתוח יכולים לזהות ספריות צד שלישי מוטמעות גם כאשר מטא-דאטה של מנהל החבילות אינו זמין.
עם עדכון זה, OPSWAT SBOM מבטיח מעקב מקיף אחר רכיבים בקוד מקור, קבצים בינאריים מהודקים ומתקיני תוכנה.
זיהוי ספרייה מדויק עם ניתוח מטא-נתונים
הגרסה החדשה שלנו ממנפת ניתוח מטא-נתונים של PE (Portable Executable) כדי לזהות קבצים בינאריים ולהתאים אותם לפגיעויות ידועות ולמסדי נתונים של רישוי. גישה אוטומטית זו מחליפה את מה שהיה בעבר תהליך ידני, גוזל זמן ומועד לשגיאות.
איך זה עובד:
- OPSWAT SBOM מזהה ספריות של צד שלישי בצורה בינארית (קבצי DLL, EXE) על ידי שימוש בחתימות שלהן ובמטא-נתונים של PE (קובץ נייד הרצה).
- מידע בינארי שחולץ ממופה לספריות וגירסאות ידועות
- לאחר מכן, ממצאים אלה מושווים מול מסדי הנתונים שלנו של פגיעויות ורישיונות.
יתרונות:
- זיהוי רכיבי צד שלישי, כולל ספריות C/C++ וחבילות התקנה המנוהלות ידנית
- שיפור הדיוק בזיהוי רכיבים בינאריים באמצעות ניתוח מטא-נתונים
- הפחתת סיכוני אבטחה על ידי זיהוי תלויות גם ללא הצהרות מנהל חבילות
- לאפשר ניהול מקיף של פגיעויות והערכות אבטחה
זיהוי ספרייה מדויק עם ניתוח מטא-נתונים
שילוב SBOM עם מאגרי חפצים
מעבר לסריקה ישירה של ספריות בינאריות, OPSWAT SBOM ו- MetaDefender Software Supply Chain תומך באינטגרציה מקורית עם מאגרי חפצים כגון JFrog Artifactory כדי לסרוק את החבילות המקוריות ולאחזר את המטא-דאטה שלהן. למידע נוסף על אינטגרציה עם JFrog Artifactory .
הפניה צולבת זו מאפשרת זיהוי מדויק של ספריות מוטמעות של צד שלישי, ומבטיחה שצוותים לא יפספסו מידע אבטחה קריטי ברכיבים הבינאריים של הפרויקטים שלהם.
אימות והעשרה של דוח CycloneDX SBOM
עדכון נוסף במהדורה זו מתמקד בדיוק ובשלמות של דוחות SBOM - במיוחד אלו בפורמט CycloneDX.
CycloneDX הוא פורמט SBOM נפוץ למעקב אחר אבטחה ופגיעויות. עם זאת, חלק מהדוחות הללו לרוב חסרים תובנות כגון נתוני רישוי או תלויות שלא הוכרזו.
בְּ OPSWAT אנו מאמינים בפילוסופיה של הגנה רב-שכבתית. כשם שאסטרטגיות אבטחה רב-שכבתיות משפרות את גילוי תוכנות זדוניות, אימות SBOM רב-שכבתי משפר את אבטחת שרשרת האספקה של תוכנה . שיפור זה מאמת ומעשיר את דוחות SBOM של CycloneDX כדי ליצור מלאי רכיבים מלא יותר.
איך זה עובד:
ייבוא SBOM קיים
משתמשים מספקים דוח SBOM בפורמט CycloneDX כבסיס לניתוח ותיקוף.
אימות והעשרה
OPSWAT סורק מחדש את ה-SBOM, מאמת את הרכיבים המפורטים מול מסד הנתונים שלנו, ומשלים פרטים חסרים, כולל:
- תובנות פגיעויות (זיהוי CVE ודירוגי חומרה)
- נתוני רישוי
- מעקב אחר גרסאות (גרסאות מיושנות ותיקונים)
בנוסף, קבצים עם CVE ידועים או רישיונות לא מאושרים יסומנו או ייחסמו בהתבסס על מדיניות מוגדרת מראש.
צור וייצוא SBOM משופר
ה-SBOM המעודכן כולל תובנות אבטחה נוספות. ייצוא ממצאים מועשרים בפורמט JSON, CycloneDX או SPDX SBOM.
למה זיהוי בינארי חשוב
מַקִיף Vulnerability Management
כאשר מוכרזים רכיבי CVE חדשים, צוותי אבטחה יכולים להעריך באופן מיידי אם הם מושפעים, אפילו עבור רכיבים בצורה בינארית. זה מבטל נקודות עיוורות אבטחה בתהליכי עבודה של תגובה לפגיעויות.
תאימות ומוכנות רגולטורית
ארגונים המתמודדים עם דרישות רגולטוריות גוברות או דרישות לקוחות ל-SBOMs יכולים להבטיח שכל הרכיבים נלקחים בחשבון - לא רק אלה המנוהלים באמצעות מנהלי חבילות.
הערכות אבטחה עבור חבילות מתקין
Software חבילות הפצה מכילות לעתים קרובות רכיבים רבים של צד שלישי. זיהוי בינארי מרחיב את הנראות של מתקינים ומבטיח שכל התלויות המגיעות ללקוחות נרשמות ונבדקות מבחינה ביטחונית.
תמיכה בבסיס קוד מדור קודם
יישומים ישנים יותר, חסרי ניהול תלויות מודרני, ניתנים כעת לשילוב בתוכניות אבטחת שרשרת אספקה של תוכנה, מבלי לדרוש מעקב ידני או עבודה מחדש נרחבת.
אוֹדוֹת OPSWAT SBOM
OPSWAT SBOM מאפשר שקיפות תוכנה על ידי מתן מלאי מדויק של רכיבי תוכנה בערימות יישומי התוכנה שלהם. OPSWAT בעזרת SBOM, מפתחים יכולים לזהות פגיעויות ידועות, לאמת רישיונות וליצור מלאי רכיבים עבור OSS (תוכנה בקוד פתוח), תלויות של צד שלישי ותמונות של מכולות. Software צוותי פיתוח יכולים להישאר תואמים לתקנות ולהישאר צעד אחד קדימה מול התוקפים מבלי לפגוע במהירות הפיתוח.
למידע נוסף על האופן שבו SBOM מסייע לאבטח את האפליקציות שלכם, בקרו באתר opswat .
