Software פיתוח מבוסס במידה רבה על מינוף רכיבים מוכנים מראש של צד שלישי כדי לייעל תהליכים, שחלקם בקוד פתוח. רכיבים אלה הם אבני הבניין של יישומי אינטרנט מודרניים, אך יכולים גם להציג פגיעויות, המציעות לפושעי סייבר נקודות כניסה פוטנציאליות למערכת שלך.
כדי לקבל נראות של הרכיבים ולנהל פגיעויות של תלות המרכיבות את התוכנה שלך, תחזוקת רשימה הנקראת SBOM (רשימת חומרים של תוכנה) חיונית לחיזוק האבטחה, ניהול הסיכונים והתאימות של האפליקציה שלך.
מה זה SBOM?
Bill of Materials (SBOM) Software (SBOM) היא רשימה מפורטת של כל הרכיבים, הספריות והתלויות בקוד פתוח וסגור המשמשים ביישום. במילים פשוטות יותר, כשם שמוצר פיזי עשוי להגיע עם רשימה של רכיבים וחומרים, גם לתוכנה יש את הרכיבים שלה.
מפתחים וספקים בונים תוכנה לעתים קרובות על ידי שילוב של קוד פתוח וקוד מסחרי. SBOM מפרט באופן שיטתי את הרכיבים הללו כדי להבטיח שקיפות ומעקב אחר רכיבי הקוד הבסיסיים במוצרי תוכנה, ובכך לסייע באבטחת שרשרת האספקה ולהבטיח עמידה בתקנות.
מהם היתרונות של SBOM?
בליבתה, SBOM מספק שלושה יתרונות עיקריים:
שְׁקִיפוּת
זה מציע תמונה ברורה של הרכב התוכנה, ומאפשר לבעלי עניין - בין אם הם מפתחים, מבקרים או משתמשי קצה - להבין את הרכיבים הנכנסים למחסנית התוכנה שלהם.
Vulnerability Management
אבטחה היא אחת הדאגות הדוחקות ביותר בפיתוח תוכנה. SBOM יכול לאתר במהירות רכיבים במוצר תוכנה - מה שמקל על זיהוי, טיפול ותיקון פגיעויות.
כאשר מתפרסם הודעת אבטחה, היא בדרך כלל מכילה מידע עדכני על פגיעויות ברכיבי תוכנה. על ידי הצמדת SBOM עם הודעת האבטחה העדכנית ביותר, ארגונים יכולים לקבוע במהירות אם היישומים שלהם נמצאים בסיכון ולנקוט בצעדים הנדרשים כדי להבטיח שהם מאובטחים כראוי.
אינטגרציה ב-SDLC ( Software מחזור חיים של פיתוח)
ככל שהתוכנה מתקדמת דרך צינור הפיתוח, היא מתעדכנת באופן שוטף, החל מהרעיון והעיצוב ועד לפריסה ותחזוקה. SBOM משמש כתיעוד דינמי המבטיח תמונה ברורה של רכיבי התוכנה, התלות והקשרים בכל שלב של תהליך ה-SDLC.
מי צריך SBOM?
באופן כללי, צרכן תוכנה יכול להיות כל ישות, בין אם מסחרית ובין אם לא מסחרית, המקבלת את רכיבי צד שלישי ואת כלי התוכנה של צד שלישי מספקים. ספקים אלה משתרעים על פני מגוון רחב של ספקים:
- מוציאים לאור של תוכנה מסחרית
- מפתחי תוכנה חוזיים המספקים רכיבי תוכנה
- FOSS (קוד פתוח וחינמי Software ספקים המנהלים קוד במאגרים פתוחים או במנהל חבילות
ראוי לציין כי ספקים אלה עוטים על עצמם מספר תפקידים. הם יכולים להיות יצרנים, מפתחים, מתחזקים או ספקים. באופן אידיאלי, ישויות אלה צריכות גם לאצור SBOMs עבור יכולות התוכנה שלהן. הבחנה ייחודית שיש לזכור היא שרוב הספקים הם גם צרכנים. עם זאת, ספק ללא רכיבים במעלה הזרם מתויג בדרך כלל כישות שורש.
SBOM במגזר הציבורי
סוכנויות פדרליות ממלאות תפקיד מרכזי באימוץ ובאכיפה של תקני SBOM. הפיקוח שלהן אינו עוסק רק בקביעת נקודות ייחוס, אלא בהבטחת עמידה בנקודות ייחוס אלו לטובת האינטרס הציבורי הרחב יותר. צו נשיאותי 14028 של ארה"ב , שיצא במאי 2021, מטיל על מספר סוכנויות בעלות סמכויות שיפוט רחבות, כולל NIST (המכון הלאומי לתקנים וטכנולוגיה), את האחריות לשפר את אבטחת הסייבר באמצעות מגוון יוזמות הקשורות לאבטחה ולשלמות שרשרת האספקה של תוכנה.
סעיף 10 (j) של צו נשיאותי 14028 מגדיר SBOM כ"רשומה רשמית המכילה את הפרטים וקשרי שרשרת האספקה של רכיבים שונים המשמשים בבניית תוכנה". ל-SBOM יש פוטנציאל לספק שקיפות, מקור ומהירות מוגברים שבהם ניתן לזהות ולתקן פגיעויות על ידי משרדים וסוכנויות פדרליות.
סוגי והגדרות של SBOM
בהתאם לשלב פיתוח התוכנה והפריסה, נוצרים סוגים שונים של מסמכי SBOM, שכל אחד מהם משרת מטרה ייחודית ומציע תובנות שונות לגבי רכיבי התוכנה. להלן שישה סוגים נפוצים של מסמכי SBOM.
לְעַצֵב
בשלב פיתוח אפליקציה זה, ייתכן שחלק מהרכיבים עדיין לא קיימים. סוג זה של SBOM נגזר בדרך כלל ממפרט עיצוב, בקשת הצעה (RFP) או קונספט ראשוני.
מָקוֹר
נוצר ישירות מסביבת הפיתוח, הוא מציע תובנות לגבי קבצי המקור והתלויות הנדרשות לבניית ארטיפקט של מוצר. הוא נוצר בדרך כלל מכלי SCA (ניתוח הרכב תוכנה), ולעיתים דורש הבהרות ידניות.
לִבנוֹת
הוא נוצר כחלק מתהליך בניית התוכנה, ומאחד נתונים מקבצי מקור, רכיבים שנבנו ותלויות אחרות. זה בעל ערך רב במיוחד מכיוון שהוא נוצר תוך כדי יצירת ארטיפקט תוכנה הניתן לשחרור.
מְנוּתָח
SBOM זה נגזר מניתוח לאחר בנייה של ארטיפקטים של תוכנה, כגון קבצי הרצה או תמונות של מכונה וירטואלית. הוא כולל היוריסטיקות מגוונות ולפעמים נקרא SBOM של "צד שלישי".
נפרס
רשימה ממצה של תוכנות הקיימות במערכת. רשימה זו, שנוצרת על ידי תיעוד SBOM של רכיבי תוכנה המותקנים במערכות, מציעה תובנות לגבי פריסת התוכנה בעולם האמיתי.
מהם המרכיבים של SBOM?
המרכיבים המינימליים של SBOM כוללים את שם ספק התוכנה, רכיבים, גרסאותיהם, מזהים ייחודיים, קשרי תלויות, מחבר נתוני SBOM וחותמת זמן, על פי NTIA (מינהל התקשורת והמידע הלאומי) . בנוסף, נתוני SBOM צריכים להכיל את המרכיבים הבאים כדי להיות יעילים ומקיפים:
- שדות נתונים: חייבים לכלול שדות נתונים מוגדרים בבירור המפרטים את שם הרכיב, הגרסאות והמאפיינים של התוכנה. זה מבטיח שכל בעלי העניין יבינו לעומק את הרכב התוכנה.
- תמיכה באוטומציה: בהתחשב באופי הדינמי של פיתוח תוכנה, SBOM צריך להיות מסוגל להתעדכן באופן אוטומטי ולשלב אותו בצינורות פיתוח ופריסה של תוכנה. זה מבטיח דיוק ויעילות בזמן אמת.
- נהלים ותהליכים: מעבר לרישום רכיבים בלבד, SBOM צריך להיות משולב בתוך נהלים ותהליכים מומלצים המסדירים את יצירתו, תחזוקתו וניצולו.
פורמטי SBOM
פורמטים פופולריים של SBOM כוללים:
- SPDX ( Software חילופי נתוני חבילות) - שפותח על ידי קרן לינוקס
- CycloneDX - משמש בדרך כלל לאבטחת יישומים
- SWID ( Software תיוג זיהוי) - מוגדר על ידי ISO/IEC 19770-2
על ידי קטלוג כל רכיב, SBOM מאפשר לארגונים לזהות בבירור את הרישיונות הקשורים לכל תוכנה, תוך הבטחה שהם יישארו תואמים לתנאי הרישוי ונמנעים ממלכודות משפטיות אפשריות.
הישאר תואם ו Secure ב-SDLC שלך
עקב העלייה במספר התקפות שרשרת האספקה, הממשלה הפדרלית והמגזר הפרטי מכירים בחשיבות של זיהוי תוכנה . SBOM הוא קריטי בפירוט רכיבי תוכנה, במיוחד רכיבים של צד שלישי. נתוני SBOM מסייעים במניעת פגיעויות ומבטיחים שקיפות ביצירת SBOM. כל תוכנה צריכה לכלול SBOM מקיף לחיזוק אמצעי האבטחה.
על ידי קטלוג כל רכיב, SBOM מאפשר לארגונים לזהות בבירור את הרישיונות הקשורים לכל תוכנה, תוך הבטחה שהם יישארו תואמים לתנאי הרישוי ונמנעים ממלכודות משפטיות אפשריות.
בעזרת OPSWAT SBOM , מפתחים יכולים לזהות פגיעויות ידועות, לאמת רישיונות וליצור מלאי רכיבים עבור OSS (תוכנה בקוד פתוח), תלויות של צד שלישי ומכולות. למידע נוסף על אבטחת שרשרת האספקה של התוכנה שלך באמצעות פתרונות SBOM חזקים, בקר בפתרון אבטחת Supply Chain Software של OPSWAT .
