एसबीओएम के साथ सॉफ्टवेयर आपूर्ति श्रृंखला जोखिमों को कम करना

यदि हमने पिछले कुछ वर्षों के कुछ प्रमुख सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों से कुछ सीखा है, जैसे कि ओरियन और लॉग4शेल हमला, ऐसा है कि इस प्रकार के हमले काफी विनाशकारी हो सकते हैं। लेकिन आज की आपस में जुड़ी हुई डिजिटल दुनिया में कंपनियों के लिए इनसे बचना मुश्किल होता जा रहा है।

सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों से कोई भी अछूता नहीं है। इन्हें और भी बदतर बनाने वाली बात यह है कि किसी एक कंपनी का उल्लंघन संभावित रूप से उनकी सॉफ्टवेयर आपूर्ति श्रृंखला पर हजारों कंपनियों को हमलों का शिकार बना देगा। इसका तात्पर्य यह है कि यह आपके अपने आंतरिक सिस्टम की सुरक्षा के लिए पर्याप्त नहीं है; आपका संगठन सक्रिय रूप से आपूर्ति श्रृंखला जोखिमों को कम करने और हमलों के खिलाफ कम करने के तरीकों में से एक सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम) नामक अवधारणा को अपनाना है।

आपका संगठन आपके दैनिक कार्यों के विभिन्न पहलुओं को चलाने के लिए संभवतः विभिन्न बाहरी प्रणालियों पर निर्भर करता है। हालाँकि, जब तक प्रदाता इसका खुलासा नहीं करता, तब तक आपको संभवतः इन बाहरी प्रणालियों द्वारा उत्पन्न जोखिमों के बारे में कोई दृश्यता नहीं होती है। एसबीओएम एक व्यापक घटक सूची के रूप में कार्य करता है जो आपके द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर घटकों को बनाने में अंतर्दृष्टि प्रदान करता है। यह दस्तावेज़ एक बन गया है आपूर्ति श्रृंखला हमले के जोखिमों के प्रबंधन के लिए प्रमुख घटक.

आपूर्ति श्रृंखला जोखिम प्रबंधन में एसबीओएम का क्या कार्य है?

आपके द्वारा उपयोग किए जाने वाले तृतीय-पक्ष सॉफ़्टवेयर की क्षमता को पूरी तरह से समझने और जोखिमों को कम करने के लिए, आपको इसकी संरचना जानने की आवश्यकता है। सामग्री का सॉफ़्टवेयर बिल (एसबीओएम) पूर्ण पारदर्शिता प्रदान करता है, जिससे आपको अपने आंतरिक सिस्टम की सुरक्षा पर बेहतर नियंत्रण मिलता है।

सामग्री का सॉफ़्टवेयर बिल सॉफ़्टवेयर या एप्लिकेशन के घटकों, सेवाओं और तृतीय-पक्ष निर्भरताओं की एक सूची है। बीओएम की अवधारणा कोई नई नहीं है, लेकिन हाल ही में इसे सॉफ्टवेयर की दुनिया में आवेदन मिला है। इस अवधारणा की जड़ का पता विनिर्माण उद्योग में लगाया जा सकता है जहां निर्माता आमतौर पर उत्पाद बनाने के लिए विभिन्न विक्रेताओं के हिस्सों का उपयोग करते हैं। उत्पाद के इतिहास को ट्रैक करने और भविष्य के रखरखाव को आसान बनाने के लिए, सामग्री का एक बिल तैयार किया जाता है जिसमें सभी घटकों का विवरण होता है और प्रत्येक कहां से आया है।

सामग्री की सूची की छवि

एसबीओएम हाल ही में 2020 के सोलरविंड्स हमले के बाद अधिक लोकप्रिय हो गए, जिसने कई अमेरिकी सरकारी एजेंसियों को प्रभावित किया। इसके जवाब में, राष्ट्रपति बिडेन ने जारी किया कार्यकारी आदेश जिसने संघीय एजेंसियों को अनुरोध करना अनिवार्य कर दिया एसबीएम सॉफ़्टवेयर डेवलपर्स और उनके साझेदार विक्रेताओं से। हालांकि यह आपूर्ति श्रृंखला हमले को नहीं रोकता है, एक सटीक एसबीओएम एक सॉफ्टवेयर उत्पाद के भीतर सभी निर्भरताओं को प्रकट करेगा। यह इसे एक मूल्यवान साइबर सुरक्षा उपकरण बनाता है जो पारदर्शिता सुनिश्चित करता है और आपूर्ति श्रृंखला में कमजोरियों को उजागर करता है, इस प्रकार आपूर्ति श्रृंखला जोखिमों को कम करने में सक्षम बनाता है।

एसबीओएम उन डेवलपर्स के लिए क्यों महत्वपूर्ण है जो ओपन-सोर्स कोड पर भरोसा करते हैं

तृतीय-पक्ष या ओपन-सोर्स कोड का पुन: उपयोग आधुनिक सॉफ़्टवेयर विकास प्रक्रिया का एक अभिन्न अंग है। जबकि डेवलपर्स को अभी भी अपना कोड लिखने की आवश्यकता है, वे नियमित रूप से अपने सॉफ़्टवेयर में तीसरे पक्ष के ओपन-सोर्स घटकों को एकीकृत करते हैं। परियोजनाओं को तेज गति से आगे बढ़ाने के लिए ऐसा करना काफी जरूरी हो गया है।

अतीत में, ओपन-सोर्स सॉफ़्टवेयर का उपयोग करने वाले संगठन और डेवलपर्स इसके घटकों के बारे में जानना चाहते थे, इसका एकमात्र कारण लाइसेंस संबंधी समस्याओं से बचना था। कई ओपन-सोर्स सॉफ़्टवेयर में प्रतिबंधित उपयोग और वितरण वाले घटक शामिल थे, और जो कोई भी उनका उपयोग करना चाहता था उसे इन सीमाओं के बारे में पता होना आवश्यक था। हालाँकि, अब डेवलपर्स यह मानने लगे हैं कि ओपन-सोर्स सॉफ़्टवेयर का उपयोग करने का जोखिम लाइसेंसिंग से परे है; इससे सुरक्षा संबंधी चिंताएँ भी बढ़ सकती हैं। सामग्री का बिल ओपन-सोर्स सॉफ़्टवेयर की लाइसेंसिंग और सुरक्षा आवश्यकताओं दोनों को समझने के लिए अभिन्न अंग है।

डेवलपर्स के लिए, सामग्री का सॉफ़्टवेयर बिल उनके द्वारा उपयोग किए जा रहे ओपन-सोर्स सॉफ़्टवेयर के कोडबेस में बेहतर दृश्यता प्रदान करता है। यह कई मामलों में समय और प्रयास बचाने में मदद कर सकता है। उदाहरण के लिए, यदि कोई नई भेद्यता खोजी जाती है। सामग्रियों के बिल के बिना, डेवलपर्स को समस्या के कारण की पहचान करने के लिए सॉफ़्टवेयर के प्रत्येक टुकड़े की समीक्षा करनी होगी। जटिल परियोजनाओं के लिए, यह एक कठिन और समय लेने वाला कार्य है। एसबीओएम का उपयोग करके, भेद्यता वाले सॉफ़्टवेयर को आसानी से पहचाना जा सकता है और आवश्यक बग फिक्स तुरंत किया जाएगा। अन्य कारण क्यों एसबीएम सॉफ्टवेयर विकास में महत्वपूर्ण है:

  • कोड ब्लोट कम करें-आपके द्वारा उपयोग किए जाने वाले प्रत्येक ओपन-सोर्स कोड के लिए, संभवतः दर्जनों अलग-अलग विकल्प हैं जो समान कार्य करते हैं। एसबीओएम के साथ, आप अपने सिस्टम के लिए घटकों की एक मानक सूची बनाकर अतिरेक को कम कर सकते हैं। साथ ही, चूंकि आपके द्वारा उपयोग किए जाने वाले प्रत्येक घटक में अपने स्वयं के अनूठे दोष या कमजोरियां होंगी, इसलिए अपने कोड को केवल आवश्यकतानुसार सुव्यवस्थित रखने से कमजोरियों को ट्रैक करना और ठीक करना आसान हो सकता है।

  • लाइसेंस दायित्वों का पालन करें-हमने उल्लेख किया है कि कैसे लाइसेंसिंग आपके सॉफ़्टवेयर के सभी घटकों को जानने का प्रयास करने के लिए प्रमुख प्रेरणाओं में से एक है। एसबीओएम प्राप्त करने से यह सुनिश्चित हो जाएगा कि आप उपयोग के लिए चुने गए घटकों पर सभी लाइसेंसिंग दायित्वों का अनुपालन कर रहे हैं।

  • सक्रिय रूप से जोखिमों का मूल्यांकन और निवारण करें-नए पहचाने गए जोखिमों की पहचान करना और उनका निवारण करना कठिन और समय लेने वाला हो सकता है। हालाँकि, घटकों की स्पष्ट रूप से उल्लिखित सूची के साथ, आप सक्रिय रूप से कमजोरियों की तलाश करना और उन्हें ठीक करना शुरू कर सकते हैं। यह मुद्दों की पहचान करने के लिए विंडो को छोटा करता है और प्रक्रिया को अधिक कुशल बनाता है।

  • यह परीक्षण और कोड समीक्षा को आसान बनाता है-किसी भी सॉफ़्टवेयर को लॉन्च करने से पहले उसका बड़े पैमाने पर परीक्षण और समीक्षा की जानी चाहिए। यह प्रक्रिया तब आसान होती है जब डेवलपर को उस सॉफ़्टवेयर के सभी घटकों और उप-घटकों की स्पष्ट समझ हो। एसबीओएम समीक्षा समय को काफी हद तक कम करने में मदद कर सकता है, जिससे आप अपने कोड को दस्तावेज़ के बिना जितना तेज़ी से उत्पादन में ला सकते हैं, उससे अधिक तेज़ी से उत्पादन में ला सकते हैं।

एसबीओएम का उपयोग करके, आप शुरुआती चरणों में हानिकारक घटकों का पता लगाने और उनसे बचने के लिए सुरक्षा परीक्षण शुरू कर सकते हैं, जबकि आपका कोड अभी भी लिखा जा रहा है। दस्तावेज़ तृतीय-पक्ष कोड और उनके घटकों के लिए गहन संदर्भ भी प्रदान करता है, जिससे समीक्षा करने और यहां तक ​​कि कोड आधार में परिवर्तन करने के लिए आवश्यक कार्य और समय कम हो जाता है।

  • एंड-ऑफ-लाइफ (ईओएल) सॉफ्टवेयर की पहचान करें-ओपन-सोर्स सॉफ़्टवेयर के साथ यह एक काफी सामान्य घटना है। कभी-कभी ये घटक अपने जीवन के अंत तक पहुंच जाते हैं क्योंकि आपूर्तिकर्ता, आपूर्ति श्रृंखला से बहुत ऊपर, अब उत्पाद का समर्थन नहीं करता है। हालांकि यह अभी भी काम करता है, असमर्थित ओपन-सोर्स सॉफ़्टवेयर प्रमुख नोड हैं जिनके माध्यम से कमजोरियों का फायदा उठाया जा सकता है। एसबीओएम ईओएल सॉफ्टवेयर की निगरानी करना और जब संभव हो तो इसे बदलने के लिए सक्रिय कदम उठाना संभव बनाता है।

एसबीओएम उपयोग के मामले और लाभ

आपके द्वारा विकसित प्रत्येक सॉफ़्टवेयर के लिए सामग्री का सॉफ़्टवेयर बिल (एसबीओएम) प्राप्त करना अनिवार्य नहीं है। हालाँकि, इसे तैयार करना तेजी से एक सर्वोत्तम अभ्यास बनता जा रहा है जिस पर प्रत्येक डिजिटल उत्पाद डेवलपर को ध्यान देने की आवश्यकता है। निम्नलिखित कुछ एसबीओएम उपयोग के मामले हैं जहां यह दस्तावेज़ बहुत मूल्यवान होगा।

एसबीओएम उपयोग मामले

संघीय आवश्यकताओं का अनुपालन

2020 और 2021 के प्रमुख सॉफ्टवेयर आपूर्ति श्रृंखला हमलों के बाद, राष्ट्रपति बिडेन ने एक जारी किया कार्यकारी आदेश जो सरकार के लिए सॉफ़्टवेयर समाधानों की आपूर्ति करने वाली एजेंसियों और विक्रेताओं के लिए प्रमुख सिफ़ारिशों की रूपरेखा प्रस्तुत करता है। कार्यकारी आदेश में शामिल आवश्यकताओं में से एक संघीय सरकार द्वारा उपयोग किए जाने वाले प्रत्येक सॉफ़्टवेयर के लिए एसबीओएम को शामिल करने का प्रस्ताव था। जबकि एसबीओएम हर किसी के लिए अनिवार्य नहीं हैं, अमेरिकी संघीय सरकार के लिए सॉफ्टवेयर प्रदान करने वाले सभी संगठनों को एसबीओएम प्रदान करने की आवश्यकता होगी जो उनके द्वारा उपयोग किए जाने वाले सभी घटकों और उनके द्वारा किए गए किसी भी संस्करण परिवर्तन का विवरण दें।

सॉफ़्टवेयर उपभोक्ताओं के लिए जोखिम कम करना

एक एसबीओएम किसी सॉफ़्टवेयर टूल के तृतीय-पक्ष घटकों में पूर्ण दृश्यता उत्पन्न करता है। किसी सॉफ़्टवेयर के सभी घटकों और उप-घटकों को ट्रैक करना उन तरीकों में से एक है जिससे संगठन किसी भी सॉफ़्टवेयर समाधान की सुरक्षा और अनुपालन मानकों को सत्यापित कर सकते हैं जिनका वे उपयोग करना चाहते हैं या पहले से ही उपयोग कर रहे हैं।

जो उपभोक्ता सामग्री के बिल के बिना सॉफ़्टवेयर का उपयोग करते हैं, वे शायद जानते हैं कि आपूर्तिकर्ता से उन्हें जो कोड मिल रहा है, उसमें ओपन सोर्स घटक हैं। हालाँकि, चूंकि ये सामग्रियां ज्ञात नहीं हैं, इसलिए उपभोक्ताओं को संभावित दुर्भावनापूर्ण कोड, असमर्थित घटकों और सॉफ़्टवेयर में अन्य कमजोरियों के बारे में जानकारी नहीं हो सकती है। 

संकट की स्थितियों पर त्वरित प्रतिक्रिया

एसबीओएम का उपयोग सॉफ्टवेयर कोडबेस में दृश्यता प्रदान करता है। अंततः, इससे डेवलपर्स के लिए संकट उत्पन्न होने पर प्रतिक्रिया देना आसान हो जाता है। उदाहरण के लिए, एसबीओएम के बिना, एक नई भेद्यता से निपटने की कोशिश करने वाली सॉफ़्टवेयर इंजीनियरिंग टीम को समस्या का निर्धारण करने के लिए उपयोग किए जाने वाले सॉफ़्टवेयर के प्रत्येक टुकड़े की मैन्युअल रूप से समीक्षा करनी होगी। हालाँकि, यदि सामग्री का बिल उपलब्ध है, तो उस सॉफ़्टवेयर को कम करना आसान है जिसमें भेद्यता हो सकती है और बहुत कम समय के भीतर आवश्यक सुधार कर सकते हैं। इससे संकट समाधान में समय बचाने में मदद मिलती है और होने वाली क्षति कम हो जाती है।

सूचना विषमता समस्याएँ

कोड के ऊपर एक आवर्धक ग्लास

सॉफ़्टवेयर बाज़ार में वर्तमान में सूचना विषमता की समस्या है। अपने ऐप सुरक्षा के बारे में पूरी जानकारी गुप्त रखकर, सॉफ़्टवेयर विक्रेताओं या निर्माताओं को उनके सॉफ़्टवेयर की गुणवत्ता के लिए ज़िम्मेदार नहीं ठहराया जा रहा है। एसबीओएम सॉफ्टवेयर ग्राहकों को उत्पाद की सुरक्षा के बारे में जानकारी उपलब्ध कराता है। यह निर्माताओं को सॉफ़्टवेयर विकास में सर्वोत्तम सुरक्षा मानकों का अनुपालन करने के लिए बाध्य करता है।

विलय और अधिग्रहण का समर्थन करना

सॉफ़्टवेयर सामग्री बिल उन दस्तावेज़ों में से एक है जिनकी किसी कंपनी के अधिग्रहण के लिए आवश्यकता हो सकती है। व्यवसाय अधिग्रहण की प्रक्रिया के कुछ हिस्सों में खरीदारी के संभावित जोखिमों का आकलन करने के लिए उचित परिश्रम शामिल होता है। एसबीओएम कंपनी द्वारा संचालित सुरक्षा ढांचे और अधिग्रहण के संभावित जोखिम के बारे में गहरी जानकारी प्रदान करते हैं।

एसबीओएम के लाभ

आधुनिक संगठन की सबसे महत्वपूर्ण सुरक्षा प्रथाओं में से एक सॉफ़्टवेयर आपूर्ति श्रृंखला जोखिमों तक पहुँचना है। इसमें यह जानना शामिल है कि क्या किसी संगठन के सॉफ़्टवेयर स्टैक में तीसरे पक्ष के घटक शामिल हैं जो आपूर्ति श्रृंखला जोखिम का कारण बन सकते हैं। ये सॉफ़्टवेयर कमजोरियाँ अक्सर उन घटकों में पाई जाती हैं जो अन्य सॉफ़्टवेयर अनुप्रयोगों पर निर्भर होते हैं। यही कारण है कि सामग्री का सॉफ़्टवेयर बिल उत्पाद सुरक्षा ढांचे का एक महत्वपूर्ण घटक है। नीचे कुछ सबसे महत्वपूर्ण हैं एसबीओएम के लाभ.

  • कमजोरियों से सक्रिय रूप से निपटें-एसबीओएम का अंतिम लाभ किसी संगठन द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर के सुरक्षा ढांचे की जांच करना, कमजोरियों की पहचान करना और उन्हें सक्रिय रूप से खत्म करने के तरीके ढूंढना है। ऐसा करने से संगठनों को आपूर्ति श्रृंखला जोखिमों को कम करने में मदद मिलती है।
  • सुरक्षा संकटों के प्रबंधन की प्रक्रिया में सुधार करें-एसबीओएम बनाने से सिस्टम की कमजोरियां दूर नहीं होती हैं या सॉफ्टवेयर आपूर्ति श्रृंखला हमलों को पूरी तरह से रोका नहीं जा सकता है। हालाँकि, यह आपूर्ति श्रृंखला जोखिमों को कम करता है और संकट आने पर उनके प्रबंधन की प्रक्रिया में सुधार कर सकता है। किसी सॉफ़्टवेयर एप्लिकेशन में भेद्यता के संभावित बिंदु के रूप में काम करने वाली सभी निर्भरताओं की एक सूची होने से जोखिम प्रबंधन की प्रक्रिया सरल हो जाती है।
  • लागत घटाएं-एसबीओएम का लाभ उठाकर सुरक्षा जोखिमों से निपटने का एक परिणाम यह है कि इससे लंबे समय में लागत कम हो जाती है। कमजोरियों का पता लगाने के लिए कोड को मैन्युअल रूप से पार्स करने की प्रक्रिया काफी महंगी हो सकती है। सामग्री का सॉफ़्टवेयर बिल लाइब्रेरी में मौजूद सॉफ़्टवेयर को दृश्यता प्रदान करता है। इससे समय बचाने और सुरक्षा मूल्यांकन की लागत कम करने में मदद मिलती है।

निष्कर्ष

प्रत्येक सॉफ्टवेयर संगठन में जो अपनी प्रतिष्ठा के बारे में गंभीर है, एक व्यापक एसबीओएम बनाना जो डेटा के साथ लगातार अद्यतन किया जाता है, सॉफ्टवेयर आपूर्ति श्रृंखला हमले के प्रभावों को रोकने के प्रमुख तरीकों में से एक है। चूंकि सॉफ़्टवेयर उत्पादों के निर्माण में तृतीय-पक्ष सॉफ़्टवेयर का उपयोग व्यावहारिक रूप से अपरिहार्य है, इसलिए आपके द्वारा उपयोग किए जाने वाले सभी घटकों की एक व्यापक घटक सूची होने से समस्याओं को कम करना और उन्हें अधिक प्रभावी ढंग से हल करना काफी आसान हो जाएगा। यह सॉफ़्टवेयर लाइसेंसिंग मुद्दों और यहां तक ​​कि, कुछ मामलों में, सरकारी नियमों का अनुपालन करना भी आसान बनाता है।