Програм хангамжийн аюулгүй байдлыг бэхжүүлэхэд чухал ач холбогдолтой болж буй нэг чухал хэрэгсэл бол Програм хангамжийн материалын жагсаалт эсвэл SBOM. Хэдийгээр SBOMs-г програм хангамж хөгжүүлэгчид удаан хугацаанд ашиглаж ирсэн бөгөөд сүүлийн үед, ялангуяа ...-г гаргаснаар тэдгээрийн ач холбогдол эргэлзээгүй нэмэгдсэн. Үндэсний кибер аюулгүй байдлыг сайжруулах тухай захирамж. Гэхдээ юу вэ SBOM, мөн энэ нь програм хангамжийн аюулгүй байдлын салбарт яагаад ийм чухал вэ? Нууцуудыг тайлж, тэдгээрийн ач холбогдлыг судалцгаая.
Гарчиг
Юу вэ SBOM?
Та юу болохыг мэдэх үү? SBOMNTIA-ийн уран яруу хэлснээр, "Ан SBOM нь үүрлэсэн бараа материал бөгөөд програм хангамжийн бүрэлдэхүүн хэсгүүдийг бүрдүүлдэг орцуудын жагсаалт юм. " Үүнийг жорын орц найрлагын жагсаалт гэж бодоорой. Хоол хийхэд шаардлагатай бүх орц найрлагыг жороор жагсаасантай адил SBOM програм хангамжийн програмыг бүрдүүлдэг бүх бүрэлдэхүүн хэсэг болон хамаарлуудыг жагсаасан болно. Үүнд нээлттэй эхийн сангууд болон гуравдагч талын бүрэлдэхүүн хэсгүүдээс эхлээд өмчийн код болон лицензүүд хүртэл бүх зүйл багтана.
SBOM Аюулгүй байдал нь програм хангамжийн бүтцийн хэсгүүдийн цогц байдлыг хангаж, байгууллагуудад бүрэлдэхүүн хэсэг бүртэй холбоотой болзошгүй аюулгүй байдлын эрсдлийг ойлгож, удирдах боломжийг олгодог. Энэхүү харагдах байдал нь програм хангамжийн хангамжийн сүлжээнд эмзэг байдлыг үнэлэх, шинэчлэлтийг хянах, сул талуудыг тодорхойлоход тусалдаг.
Гол үйл явдлууд жолоодох SBOM Хүүхэд үрчилж авах тухай
баталсан SBOM Сүүлийн жилүүдэд хэд хэдэн гол үйл явдал, хөгжлийн нөлөөгөөр аюулгүй байдал мэдэгдэхүйц эрч хүчээ авсан:
- Үндэсний кибер аюулгүй байдлыг сайжруулах тухай гүйцэтгэх захирамж (EO 14028): 2021 оны 5-р сард Цагаан ордон EO 14028 гаргасан бөгөөд энэ нь ... ашиглахыг шаардсан. SBOMхолбооны засгийн газрын зарим чухал програм хангамжийн системүүдэд зориулсан бөгөөд тэдгээрийг хувийн хэвшилд нэвтрүүлэхийг дэмждэг.
- Үндэсний хүрээлэн Standardс ба технологи (NIST) Кибер аюулгүй байдлын хүрээний шинэчлэлт: 2022 онд NIST нь Кибер аюулгүй байдлын хүрээгээ сайжруулах гол хяналт болгон нэгтгэхийн тулд шинэчилсэн. software supply chain security.
- Олон улсын байгууллага Standardтохиргоо (ISO) Standardшинэчлэл: 2023 онд, ISO нь ISO/IEC 5280:2023 стандартыг нийтэлсэн. standard нь SBOMс, хангах standardөгөгдөл үүсгэх, удирдах, солилцох дэвшилтэт арга барил.
Мэдээлэл ямар үүрэг гүйцэтгэдэг вэ? SBOM агуулах уу?
SBOMs нь янз бүрийн хэлбэрээр байдаг бөгөөд тус бүр өөрийн гэсэн давуу болон сул талуудтай. SPDX болон CycloneDX нь хамгийн түгээмэл хэрэглэгддэг форматуудын нэг юм. SBOM форматууд.
Энэ нь ихэвчлэн дараах чухал бүрэлдэхүүн хэсгүүдийг агуулдаг:
- Програм хангамжийн бүрэлдэхүүн хэсгүүд: Бүтээгдэхүүнд ашигласан бүх програм хангамжийн бүрэлдэхүүн хэсгүүдийн дэлгэрэнгүй жагсаалт, үүнд номын сан, хүрээ, хоёртын файлууд орно.
- Хувилбарын дугааруудПрограм хангамжийн бүрэлдэхүүн хэсэг бүрийн тодорхой хувилбарын танигч нь мөрдөх, болзошгүй эмзэг байдлыг тодорхойлох боломжийг олгодог.
- хамаарлуудПрограм хангамжийн бүрэлдэхүүн хэсгүүдийн хоорондын харилцааны газрын зураг, тэдгээр нь хэрхэн харилцан үйлчилж, бие биенээсээ хамааралтай болохыг харуулна.
- Мета өгөгдөлПрограм хангамжийн бүрэлдэхүүн хэсэг бүртэй холбоотой нэмэлт мэдээлэл, тухайлбал лиценз, үйлдвэрлэгчийн мэдээлэл, зохиогчийн эрхийн мэдээлэл.
- Аюулгүй байдлын эмзэг байдалХэрэв боломжтой бол програм хангамжийн бүрэлдэхүүн хэсгүүдтэй холбоотой мэдэгдэж буй эмзэг байдлын талаарх мэдээлэл.
CycloneDX-ийн жишээ SBOM JSON форматаар
{ "bomFormat": "CycloneDX", "specVersion": "1.3", "serialNumber": "urn:uuid:6a77d60f-8711-4fb2-ba57-80a8a4a6d2a1", , "version": 1, "metadata": { "timestamp": "2023-10-30T12:30:00Z", "tools": [ { "vendor": "Xygeni.io", "name": "SBOM Generator", "version": "1.0" } ] }, "components": [ { "type": "library", "name": "nacl-library", "version": "1.0.0", "group": "com.example.security", "licenses": [ { "id": "Apache-2.0", "name": "Apache License 2.0", "url": "https://opensource.org/licenses/Apache-2.0" } ] }, { "type": "application", "name": "secure-app", "version": "2.5.1", "group": "com.example.apps", "licenses": [ { "id": "MIT", "name": "MIT License", "url": "https://opensource.org/licenses/MIT" } ], "components": [ { "type": "framework", "name": "Spring Boot", "version": "2.6.0", "licenses": [ { "id": "Apache-2.0", "name": "Apache License 2.0", "url": "https://opensource.org/licenses/Apache-2.0" } ] }, { "type": "library", "name": "log4j", "version": "2.14.1", "licenses": [ { "id": "Apache-2.0", "name": "Apache License 2.0", "url": "https://opensource.org/licenses/Apache-2.0" } ] } ] } ] } яагаад SBOM Програм хангамжийн аюулгүй байдалд аюулгүй байдал чухал
Эмзэг байдлыг тодорхойлох, нөхөн сэргээх ажлыг сайжруулах
SBOMs нь програм хангамжийн аюулгүй байдлын эмзэг байдлыг тодорхойлох, арилгахад чухал үүрэг гүйцэтгэдэг. Бүх програм хангамжийн бүрэлдэхүүн хэсгүүд болон тэдгээрийн хамаарлын цогц жагсаалтыг гаргаснаар байгууллагуудад дараахь боломжийг олгодог:
- Бүрэлдэхүүн хэсгүүдийн гарал үүслийг хянах: SBOMs нь програм хангамжийн бүрэлдэхүүн хэсгүүдийн гарал үүслийг илчилж, байгууллагуудад эмзэг байдлын илчлэлт болон засваруудын анхны эх код эсвэл багц руу буцаж очих боломжийг олгодог.
- Мэдэгдэж буй эмзэг байдлыг тодорхойлох: SBOMs-г тодорхой бүрэлдэхүүн хэсгүүдтэй холбоотой мэдэгдэж буй эмзэг байдлыг тодорхойлохын тулд эмзэг байдлын мэдээллийн сантай харьцуулан сканнердаж болно. Энэхүү урьдчилан сэргийлэх арга нь байгууллагуудад халдагчид ашиглахаас өмнө чухал эмзэг байдлыг нөхөх ажлыг эрэмбэлэхэд тусалдаг.
- Эмзэг байдлыг сканнердах автоматжуулалт: SBOMs-г эмзэг байдлыг сканнердах үйл явцыг автоматжуулахад ашиглаж болох бөгөөд ингэснээр хөгжүүлэгчид болон аюулгүй байдлын багуудын цаг хугацаа, хүчин чармайлтыг хэмнэнэ. Энэхүү автоматжуулалт нь эмзэг байдлын менежментийн хүчин чармайлтын үр ашгийг мэдэгдэхүйц сайжруулж чадна.
Аюулгүй байдлын сайжруулсан нийцэл Standards
баталсан SBOM Байгууллагуудын хувьд програм хангамжийн аюулгүй байдлыг дагаж мөрдөхийг харуулахын тулд аюулгүй байдал улам бүр чухал болж байна standardболон дүрэм журам. Хэд хэдэн салбарын байгууллага болон засгийн газрын агентлагууд дараахыг ашиглахыг үүрэг болгосон SBOMs, үүнд:
- АНУ-ын Батлан хамгаалах яам (DoD): Ашиглахыг шаарддаг SBOMs нь Батлан хамгаалах яаманд зориулж боловсруулсан эсвэл ашигладаг бүх програм хангамжийн хувьд.
- Үндэсний аюулгүй байдлын агентлаг (ҮАБА): Үүнийг сайжруулахын тулд ашиглахыг зөвлөж байна software supply chain security.
- Үндэсний цахилгаан холбоо, мэдээллийн алба (NTIA)): Хөгжил, нэвтрүүлэлтийг дэмждэг SBOM standardба удирдамж.
- The OpenSSF Ажлын хэсэг: Олон нийтийн дэмжлэгтэйгээр хэрэгжүүлдэг санаачилга бөгөөд үүнийг дэмждэг standardхэлбэржүүлэх болон нэвтрүүлэх SBOMs.
Эдгээр шаардлагыг дагаж мөрдсөнөөр байгууллагууд өөрсдийн commitкибер аюулгүй байдалд анхаарал хандуулж, болзошгүй торгууль, шийтгэлээс өөрсдийгөө хамгаалах.
Ил тод байдал, хянах боломжтой болсон
Тэд програм хангамжийн хангамжийн сүлжээнд ил тод байдал, мөрдөх чадварыг дэмждэг. Програм хангамжийн бүрэлдэхүүн хэсгүүд болон тэдгээрийн гарал үүслийн талаар тодорхой, цогц ойлголтыг өгснөөр, SBOMs нь дараахад тусалж чадна:
- Тодорхойлох ба хангамжийн сүлжээний халдлагыг бууруулах: SBOMs-г эвдэрсэн бүрэлдэхүүн хэсэг эсвэл нийлүүлэгчдээс үүдэлтэй болзошгүй эмзэг байдлыг тодорхойлоход ашиглаж болно. Энэ мэдээллийг хангамжийн сүлжээний халдлагаас хамгаалах залруулах арга хэмжээ авахад ашиглаж болно.
- Оролцогчдын хоорондын хамтын ажиллагааг сайжруулах: SBOMs нь програм хангамжийн хангамжийн сүлжээнд хөгжүүлэгчид, аюулгүй байдлын багууд болон бусад оролцогч талуудын хоорондын хамтын ажиллагааг хөнгөвчлөх боломжтой. Энэ нь оролцож буй хүн бүр програм хангамжийн бүтэц, аюулгүй байдлын байр суурийн талаар тодорхой ойлголттой байх боломжийг хангахад тусална.
Үр дүнтэй ослын хариу арга хэмжээ
Тэд аюулгүй байдлын эмзэг байдлаас үүдэлтэй дараагийн нөлөөллийн эрсдэлийг дараах байдлаар бууруулахад тусалж чадна.
- Эрт илрүүлэлт ба залруулга: SBOMs нь байгууллагуудад үйлдвэрлэлийн орчинд байршуулахаас өмнө хөгжүүлэлтийн үйл явцын эхэн үед эмзэг байдлыг тодорхойлж, засах боломжийг олгодог. Энэ нь өгөгдлийн алдагдал, тасалдал зэрэг дараагийн нөлөөллөөс урьдчилан сэргийлэх боломжтой.
- Шийдвэрлэх хугацааг багасгасан: SBOMs нь хөгжүүлэгчдэд нөлөөлөлд өртсөн бүрэлдэхүүн хэсгүүд болон тэдгээрийн хамаарлын талаар тодорхой ойлголт өгөх замаар нөхөөс хийх үйл явцыг хурдасгаж чадна. Энэ нь нөхөөсийг тодорхойлж, хэрэглэхэд шаардагдах хугацааг багасгаж, халдагчид эмзэг байдлыг ашиглах боломжийг багасгадаг.
Хөгжиж буй чиг хандлага SBOM Аюулгүй байдлын үрчлэлт
-ийн үрчлэлтийн хувьд SBOMөсөн нэмэгдэж байгаа ч хэд хэдэн шинээр гарч ирж буй чиг хандлага нь ландшафтыг бүрдүүлж байна:
- Standardшинэчлэл ба харилцан ажиллах чадвар: The standardCycloneDX зэрэг форматуудыг шинэчлэх нь өөр өөр хэрэгсэл болон платформуудын хоорондын харилцан үйлчлэлийг дэмжиж байна.
- DevOps-той интеграцчилал болон CI/CD Pipelines: SBOMs-г DevOps болон-д нэгтгэж байна CI/CD pipelines нь өгөгдөл үүсгэх, удирдах, түгээх үйл явцыг автоматжуулах зорилготой юм.
- Үүлэнд суурилсан SBOM Шийдэл: Үүлэн дээр суурилсан SBOM Байгууллагуудад өгөгдлөө удирдах өргөтгөх боломжтой, аюулгүй платформоор хангах шийдлүүд гарч ирж байна.
- Хамтын ажиллагаа болон олон нийтийн байгуулалтыг нэмэгдүүлэх: The SBOM нийгэмлэг өсөн нэмэгдэж, байгууллага, хувь хүмүүс дэмжих санаачилга дээр хамтран ажиллаж байна SBOM аюулгүй байдлыг нэвтрүүлэх, хөгжүүлэх.
Би яаж авах вэ SBOM & Програм хангамжийн аюулгүй байдлаа сайжруулах уу?
Одоо та юу болохыг мэдэж авсан SBOM үүсгэх, хадгалахыг та ойлгож байна SBOM Аюулгүй байдал нь ялангуяа том, нарийн төвөгтэй програм хангамжийн хангамжийн сүлжээтэй байгууллагуудын хувьд нарийн төвөгтэй ажил байж болно. Xygeni-ийн платформ автоматаар үүсгэж болно SBOMөргөн хэрэглэгддэг SPDX болон CycloneDX форматууд дахь програм хангамжийн репозиторуудад зориулсан s. Энэ нь мөн АНУ-ын засгийн газрын дүрэм журам, салбарын шаардлагыг дагаж мөрдөхийг баталгаажуулдаг. standardжишээ нь Кибер аюулгүй байдал болон дэд бүтцийн аюулгүй байдлын агентлаг (CISА)-ийн шаардлага.
Програм хангамжийн аюулгүй байдлыг хувьсгал хийж, дижитал бүрэн бүтэн байдлыг хангах
SBOM нь дижитал ертөнцийг хувьсгал хийж буй хувиргагч хүч юм software supply chain security мөн байгууллагуудыг орчин үеийн програм хангамжийн экосистемийн нарийн төвөгтэй байдлыг итгэлтэйгээр даван туулахад нь чадавхжуулах. Ил тод байдлыг сайжруулах, шударга байдлыг хангах, нийцлийг оновчтой болгох чадвар нь тэднийг дэлхий даяарх аюулгүй байдлын багуудын зайлшгүй хэрэгсэл болгодог.
Тэврэх SBOM Програм хангамжийн аюулгүй байдлын практикийг сайжруулахыг зорьж буй аливаа байгууллагын хувьд аюулгүй байдал чухал юм. SBOM хангамжийн сүлжээний харагдах байдлыг сайжруулж, аюулгүй байдлын багуудад эрсдэлийг удирдах, нийцлийг үр дүнтэй хангахад тусалдаг.
As SBOM хэрэглээ өсөн нэмэгдэж байгаа ч програм хангамжийн экосистемийг хамгаалахад түүний гол үүрэг улам бүр тодорхой болж байна. SBOMs нь зөвхөн эмзэг байдлыг удирдаад зогсохгүй програм хангамжийн аюулгүй байдлын ирээдүйд хөрөнгө оруулалт хийж, дижитал дэд бүтцийнхээ гуйвшгүй бүрэн бүтэн байдал, уян хатан байдлыг хангаж байна. SBOMs нь зүгээр нэг хэрэгсэл биш; эдгээр нь хэт холбогдсон, өгөгдөлд суурилсан ертөнцөд цэцэглэн хөгжихийг эрмэлздэг байгууллагуудын хувьд стратегийн зайлшгүй шаардлага юм.




