एससीए और एसबीओएम: क्या अंतर है?

सभी पद

निर पेलेग

यह किसी दिए गए सॉफ़्टवेयर एप्लिकेशन में उनके साथ जुड़ा हुआ है। SCA टूल का उपयोग करके किसी एप्लिकेशन के संपूर्ण कोडबेस को खोजा जाता है ताकि एप्लिकेशन में उपयोग की जाने वाली सभी ओपन-सोर्स लाइब्रेरी और घटकों का पता लगाया जा सके, उनके संस्करणों की निगरानी की जाती है और यह उन घटकों के लिए ज्ञात कमजोरियों का भी पता लगाता है। 

एससीए का उद्देश्य

एससीए का मुख्य उद्देश्य ओएसएस घटकों को शामिल करने से होने वाले जोखिमों को कम करना है। ये हैं; सुरक्षा संबंधी मुद्दे, पुरानी या अप्रचलित लाइब्रेरी/घटकों का उपयोग, और ओपन-सोर्स लाइसेंस का पालन करने की आवश्यकता। इस तरह, एससीए ऐसे जोखिमों को रोकने और पूरे सॉफ़्टवेयर जीवन चक्र में उचित सॉफ़्टवेयर सुरक्षा और अनुपालन बनाए रखने में सहायता करता है। 

एससीए की कार्यप्रणाली

 एससीए उपकरण आमतौर पर निम्नलिखित पद्धतियों का उपयोग करते हैं:

  1. निर्भरता स्कैनिंगएससीए उपकरण, परियोजना निर्माण फाइलों (मावेन, एनपीएम, ग्रेडेल, आदि) में बताई गई निर्भरताओं के आधार पर, उपयोग किए जाने वाले ओपन-सोर्स घटकों का निर्धारण करते हैं। 
  2. बाइनरी विश्लेषणकुछ एससीए उपकरण संकलित बाइनरी में ओपन-सोर्स घटकों का निर्धारण करने में सक्षम हैं। 
  3. हस्ताक्षर मिलानएससीए उपकरण, अनुप्रयोग के भीतर मिलानों की तलाश करने के लिए पहचाने गए ओपन-सोर्स घटकों और उनके हस्ताक्षरों के डेटाबेस के आधार पर काम करते हैं। 
  4. भेद्यता का पता लगाना: पाए गए सभी तत्वों का मिलान SCA उपकरणों द्वारा सुरक्षा खतरों का पता लगाने के लिए ज्ञात कमजोरियों (जैसे NVD, CVE) के डेटाबेस के साथ किया जाता है।

एससीए के लाभ

एससीए सॉफ्टवेयर सुरक्षा प्रबंधन के लिए कई लाभ प्रदान करता है:

  1. सुरक्षा बढ़ानाएससीए ज्ञात कमजोरियों का फायदा उठाने से रोकता है क्योंकि यह उन ओपन-सोर्स घटकों की पहचान करता है जिनका उपयोग अनुप्रयोग को खतरे में डालने के लिए किया जा सकता है। 
  2. अनुपालन प्रबंधनएससीए टूल्स की मदद से कानूनी समस्याओं से बचने के लिए ओपन-सोर्स लाइसेंस का अनुपालन भी किया जाता है।
  3. जोखिम शमनएससीए उपकरण सॉफ्टवेयर का जोखिम चित्र देते हैं ताकि जोखिम प्रबंधन पहले से किया जा सके। 
  4. निरंतर निगरानीउपलब्ध अधिकांश एससीए उपकरण ओपन-सोर्स घटकों की निरंतर निगरानी करने तथा नई कमजोरियों का पता चलते ही डेवलपर्स को सूचित करने में सक्षम हैं। 

सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम) को समझना

एसबीओएम का मतलब है सामग्री का सॉफ्टवेयर बिल और यह सॉफ्टवेयर एप्लीकेशन में शामिल सभी घटकों, लाइब्रेरी और निर्भरताओं की एक विस्तृत सूची है। इसमें घटक के बारे में जानकारी होती है जैसे नाम, उसका संस्करण, लाइसेंस प्रकार और वह स्रोत जहाँ से इसे इंस्टॉल किया गया था। SBOM सॉफ्टवेयर के घटकों का एक स्नैपशॉट देता है जो सॉफ्टवेयर की सुरक्षा निर्धारित करने और जोखिमों को कम करने में महत्वपूर्ण है। 

एसबीओएम का उद्देश्य

SBOM का मुख्य लक्ष्य सॉफ़्टवेयर बिल ऑफ़ मटीरियल पर प्रकाश डालना है। SBOM प्रत्येक घटक को निर्धारित करता है जिसे किसी एप्लिकेशन में शामिल किया गया है, जिससे संगठनों को उनकी सॉफ़्टवेयर आपूर्ति श्रृंखला, जोखिम प्रोफ़ाइल और अनुपालन स्थिति को समझने में मदद मिलती है।

एसबीओएम की कार्यप्रणाली

एसबीओएम बनाने में आमतौर पर निम्नलिखित पद्धतियां शामिल होती हैं: 

  1. घटक पहचान: सॉफ्टवेयर का हिस्सा बनने वाले सभी घटकों, लाइब्रेरी और निर्भरताओं को परिभाषित करना। सुरक्षा एक प्रमुख चिंता का विषय है, खासकर सॉफ्टवेयर विकास के क्षेत्र में। यह सुनिश्चित करने के लिए कि हम जो सॉफ्टवेयर विकसित और उपयोग करते हैं वह सुरक्षित है, इसके विभिन्न भागों और उनमें निहित जोखिम को समझने की आवश्यकता है। इस डोमेन में दो महत्वपूर्ण उपकरण हैं, अर्थात्, सॉफ्टवेयर कंपोजिशन एनालिसिस (SCA) और सॉफ्टवेयर बिल ऑफ मैटेरियल्स (SBOM)। हालाँकि दोनों ही सॉफ्टवेयर सुरक्षा के सुधार से जुड़े हैं, लेकिन वे अपने कार्यों, दृष्टिकोणों और लाभों में भिन्न हैं। यह लेख सॉफ्टवेयर सुरक्षा नियंत्रण में इसके संबंध, उद्देश्य, दृष्टिकोण और लाभों के बारे में SCA और SBOM की तुलना पर भी ध्यान केंद्रित करता है। 

  2. सॉफ़्टवेयर संरचना विश्लेषण (एससीए) को समझना

  3. सॉफ्टवेयर संरचना विश्लेषण (एससीए) इसे प्रक्रिया या उपकरणों के समूह के रूप में परिभाषित किया जाता है जो ओपन-सोर्स घटकों, उनकी सुरक्षा स्थिति और लाइसेंस की पहचान करने में मदद करते हैं।
  4. मेटाडेटा संग्रह: संस्करण, लाइसेंस और स्रोत जैसे घटकों के बारे में अतिरिक्त जानकारी एकत्र करना। 
  5. रिश्तों का दस्तावेजीकरणसॉफ्टवेयर प्रणाली को बनाने वाले भागों के बीच सापेक्षिक अंतर्संबंध का दस्तावेजीकरण और प्रदर्शन। 
  6. स्वचालित उपकरण: एसबीओएम का उत्पादन और अद्यतन करने के लिए सॉफ्टवेयर इंजीनियरिंग स्वचालन का उपयोग करना।

एसबीओएम के लाभ

एसबीओएम सॉफ्टवेयर सुरक्षा प्रबंधन के लिए कई लाभ प्रदान करता है: 

  1. ट्रांसपेरेंसीयह सुनिश्चित करता है कि सॉफ्टवेयर घटकों का स्पष्ट और विस्तृत दस्तावेज़ीकरण हो, जिससे आपूर्ति श्रृंखला की समझ में सुधार हो।
  2. जोखिम प्रबंधनइससे तीसरे पक्ष के घटकों से जुड़ी भेद्यता और उनके साथ जुड़े लाइसेंस अनुपालन को जानने में मदद मिलती है।
  3. अनुपालनकानूनी और औद्योगिक मानकों का अनुपालन जिसके लिए एसबीओएम का कार्यान्वयन आवश्यक है।
  4. घटना की प्रतिक्रिया: यह सुरक्षा उल्लंघनों पर त्वरित नियंत्रण करने में सक्षम बनाता है क्योंकि यह प्रभावित उप-भागों के बारे में जानकारी प्रदान करता है। 

एससीए और एसबीओएम के बीच मुख्य अंतर

इस प्रकार, SCA और SBOM सॉफ्टवेयर सुरक्षा के प्रबंधन से संबंधित हैं, लेकिन उनके कार्य और उद्देश्य अलग-अलग हैं। SCA और SBOM के बीच मुख्य अंतर इस प्रकार हैं: 

1. दायरा और फोकस

  • एससीए: किसी एप्लिकेशन में ओपन-सोर्स तत्वों के एकीकरण का पता लगाने और उन्हें रोकने की प्रक्रियाओं पर केंद्रित है। इसका मुख्य उद्देश्य मौजूदा कमज़ोरियों की पहचान करना और लाइसेंस का प्रबंधन करना है। 
  • एसबीएम: किसी एप्लिकेशन में मौजूद सभी क्लास, लाइब्रेरी और निर्भरताओं को सूचीबद्ध करता है और उनकी आसान सूची बनाने की अनुमति देता है। इस फ्रेमवर्क का प्राथमिक उद्देश्य सॉफ्टवेयर आपूर्ति श्रृंखला में दृश्यता बढ़ाना और जोखिमों को कम करना है। 

2. कार्यप्रणाली

  • एससीए: निर्भरता स्कैनिंग तंत्र, बाइनरी विश्लेषण और हस्ताक्षर मिलान के माध्यम से ओपन-सोर्स घटकों की पहचान करके भेद्यता का पता लगाता है। 
  • एसबीएमइसमें सभी तत्वों की पहचान, मेटाडेटा एकत्र करना, तथा अंतःक्रियाओं का अभिलेखन करना शामिल है, जिसके परिणामस्वरूप सॉफ्टवेयर घटकों की विस्तृत सूची तैयार होती है। 

3. आउटपुट और डिलिवरेबल्स

  • एससीए: ओपन-सोर्स घटकों की खोजी गई कमजोरियों, लाइसेंस गैर-अनुपालन और जोखिम आकलन के बारे में रिपोर्ट तैयार करता है। 
  • एसबीएम: एक सूची रिपोर्ट बनाता है जिसमें सूचीबद्ध सभी घटकों के साथ-साथ उनके संस्करण, लाइसेंस और स्रोत, तथा वे अन्य घटकों के साथ किस प्रकार संबंधित हैं, शामिल होते हैं।

4. मामलों का प्रयोग करें

  • एससीए:
    •  ओपन-सोर्स लाइब्रेरीज़ में ज्ञात कमजोरियों के पहचाने गए मुद्दों को स्कैन करना और उनका निवारण करना। 
    • ओपन सोर्स सॉफ्टवेयर के लाइसेंस का अनुपालन। 
    • नई भेद्यता रिपोर्टों के लिए ओपन-सोर्स घटकों की निरंतर स्कैनिंग। 
  • एसबीएम:
    • सॉफ्टवेयर आपूर्ति श्रृंखला में लिंक की दृश्यता में सुधार करना। 
    • उपलब्ध सॉफ्टवेयर घटकों पर सभी आवश्यक जानकारी प्रदान करके जोखिम प्रबंधन प्रक्रिया को सक्षम बनाना। 
    •  एसबीओएम के उपयोग को अनिवार्य बनाने वाले विनियमों और उद्योगों के दिशानिर्देशों को पूरा करना। 
    •  प्रभावित घटकों पर अधिक वर्णनात्मक डेटा प्रदान करके घटना प्रतिक्रिया में सहायता करना। 

एससीए और एसबीओएम के बीच संबंध

एससीए और एसबीओएम ऐसे उपकरण हैं जिन्हें सॉफ्टवेयर सुरक्षा प्रबंधन को बेहतर बनाने के लिए सहक्रियात्मक रूप से लागू किया जा सकता है। जबकि एससीए ओपन-सोर्स घटकों से संबंधित जोखिमों पर केंद्रित है, एसबीओएम सॉफ्टवेयर की संरचना की अधिक व्यापक तस्वीर पेश करता है जिसमें मालिकाना और तीसरे पक्ष के दोनों तत्व शामिल हैं। एससीए और एसबीओएम का संयोजन यह सुनिश्चित करेगा कि संगठन के सॉफ्टवेयर की पूरी तस्वीर स्थापित हो, और जोखिम को सफलतापूर्वक कम किया जाए। 

एकीकृत उपयोग का उदाहरण

मान लीजिए कि कोई संगठन एक वेब एप्लिकेशन बनाने और कई ओपन-सोर्स लाइब्रेरीज़ और थर्ड-पार्टी घटकों का उपयोग करने की योजना बना रहा है। सुरक्षा बढ़ाने के लिए SCA और SBOM को कैसे एकीकृत किया जा सकता है, यहाँ बताया गया है:

  1. एसबीओएम का सृजन: संगठन द्वारा स्वचालित रूप से एक SBOM बनाया जाता है, जिसमें अनुप्रयोग में प्रयुक्त सभी घटकों, लाइब्रेरीज़ और निर्भरताओं, उनके संस्करण, लाइसेंस और मूल के बारे में जानकारी होती है। 
  2. एससीए का प्रदर्शनसंगठन ओपन-सोर्स कोड पर आधारित एप्लिकेशन के तत्वों में कमज़ोरियों की उपस्थिति की खोज करने के लिए SCA टूल का उपयोग करता है। पहचाने गए घटकों की तुलना कमज़ोरियों के डेटाबेस से की जाती है और SCA टूल द्वारा पहचानी गई कमज़ोरियों पर रिपोर्ट दी जाती है। 
  3. जोखिम प्रबंधनइस संरचना के होने पर, संगठन एप्लिकेशन की संपूर्ण संरचना और उसके तत्वों के बीच की अंतःक्रियाओं की पहचान करने के लिए SBOM का उपयोग करता है। SBOM SCA टूल द्वारा प्रकट नहीं किए गए तृतीय-पक्ष और स्वामित्व घटकों से संबंधित जोखिमों को परिभाषित करने में सहायता करता है। 
  4. निरंतर निगरानी: संगठन हमेशा SBOM को रिफ्रेश करता है और नई कमज़ोरियों की जाँच करने तथा लाइसेंसिंग के अनुपालन की जाँच करने के लिए समय-समय पर SCA स्कैन करता है। साथ में, SCA और SBOM सॉफ़्टवेयर सुरक्षा कमज़ोरियों का समग्र मूल्यांकन प्रदान करते हैं और कुशल जोखिम शमन की अनुमति देते हैं। 

सॉफ्टवेयर सुरक्षा प्रबंधन के लाभ

एससीए और एसबीओएम का एकीकरण सॉफ्टवेयर सुरक्षा प्रबंधन के लिए कई लाभ प्रदान करता है:

  1. व्यापक जोखिम प्रबंधनइसलिए, सॉफ्टवेयर सामग्री बिल में एसबीओएम की दृश्यता के साथ कमजोरियों की पहचान करने की एससीए की क्षमता को एकीकृत करके, संगठनों में जोखिमों को बेहतर ढंग से संबोधित किया जा सकता है। 
  2. बढ़ी हुई दृश्यताएसबीओएम सभी सॉफ्टवेयर घटकों का स्पष्ट विवरण देता है, जिससे सॉफ्टवेयर और इसकी आपूर्ति श्रृंखला की समग्र दृश्यता में सुधार होता है। 
  3. सक्रिय सुरक्षाएससीए सुरक्षा खतरों को रोकने के लिए ओपन-सोर्स घटकों में अंतर्निहित खतरों का शीघ्र पता लगाने और उन्मूलन की अनुमति देता है। 
  4. अनुपालन आश्वासनये दोनों, अर्थात् एससीए और एसबीओएम, विनियमों और मानकों का पालन न करने से जुड़े कानूनी परिणामों से बचने में सहायता करते हैं।
  5. कुशल घटना प्रतिक्रियाइस प्रकार, सुरक्षा घटना के दौरान, एसबीओएम का विस्तृत डेटा समझौता किए गए घटकों का त्वरित पता लगाने और हटाने की अनुमति देता है। 

केंद्रीकृत एसबीओएम प्रबंधन के लिए सर्वोत्तम अभ्यास

 चूंकि SBOMs को C-SCRM मानकों में तेजी से शामिल किया जा रहा है, इसलिए संगठनों के लिए SBOM का प्रबंधन करना महत्वपूर्ण है। NSA और CISA ने SBOM प्रबंधन के लिए उपाय प्रदान किए हैं, जिसमें सॉफ़्टवेयर उत्पादों की प्रामाणिकता, अखंडता और विश्वसनीयता के पहलुओं को शामिल किया गया है। 

उच्च-स्तरीय केंद्रीकृत SBOM प्रबंधन प्लेटफ़ॉर्म का निर्माण उन संगठनों के लिए नए अवसर खोल सकता है जो अपने सॉफ़्टवेयर सुरक्षा के स्तर को बेहतर बनाने का प्रयास करते हैं। ये प्लेटफ़ॉर्म सभी सॉफ़्टवेयर घटकों और उनसे जुड़े जोखिमों का एक व्यापक दृष्टिकोण देते हैं, इस प्रकार संगठनों में सॉफ़्टवेयर आपूर्ति श्रृंखलाओं के प्रबंधन में सुधार करते हैं। निम्नलिखित अनुभाग में, हम इस अवधारणा के तत्वों पर गहन नज़र डालते हैं, साथ ही केंद्रीकृत SBOM प्रबंधन प्लेटफ़ॉर्म के उचित उपयोग पर NSA और CISA द्वारा प्रस्तुत अनुशंसाएँ भी बताते हैं। 

केंद्रीकृत एसबीओएम प्रबंधन प्लेटफॉर्म की प्रमुख कार्यक्षमताएं

  1. एसबीओएम इनपुट और आउटपुट प्रबंधन:
    • एकाधिक स्वरूपों के लिए समर्थन: इसे एसबीओएम प्रारूप के विभिन्न संस्करणों जैसे कि साइक्लोन डीएक्स और एसबीओएम के मानकीकृत प्रारूप जिसे एसपीडीएक्स के रूप में जाना जाता है, को समायोजित और संबोधित करना होगा। यह JSON, XML और CSV के प्रारूप में एसबीओएम को निर्यात और आयात करने में सक्षम होना चाहिए। 
    • अनुपालन जांच: इसे SBOM फ़ाइल की संरचना और प्रारूप सिंटैक्स को सही प्रारूप विनिर्देश के विरुद्ध सत्यापित करना चाहिए। एक स्वचालित सुधार सुविधा जो आयात के दौरान SBOM फ़ाइल को सामान्यीकृत और सही करने में मदद करेगी, उपयोगी है। 
    • एकत्रीकरण और रूपांतरण: कई SBOMs को एकत्रित करना और SBOM फ़ाइल के एक प्रारूप और/या प्रकार को दूसरे में अनुवाद करना संभव होना चाहिए। 
  2. एसबीओएम का निर्माण और प्रबंधन:
    • घटक पहचानइसमें आपूर्तिकर्ता का नाम, भाग का नाम, भाग पहचानकर्ता, भाग संस्करण, भाग निर्भरता और भाग लेखक सहित बुनियादी SBOM फ़ील्ड शामिल होने चाहिए। 
    • निर्भरता मानचित्रणघटकों की निर्भरताओं का दृश्यात्मक वर्णन करने तथा बाह्य संवर्धनों सहित घटक उद्गम डेटा को दर्शाने के लिए इंटरफ़ेस सुविधाओं की आवश्यकता है। 
  3. सत्यापन और भेद्यता ट्रैकिंग:
    • अखंडता सत्यापन: प्रत्येक घटक की हैश जानकारी रिकॉर्ड की जाएगी और दिखाई जाएगी जबकि एसबीओएम और घटक की अखंडता के लिए डिजिटल हस्ताक्षर भी प्रदान किए जाएंगे। अन्य संबंधित लिंक जहां से उद्गम पर डेटा एकत्र किया गया था, उन्हें भी प्रदान किया जाना चाहिए। 
    • लगातार अपडेट: प्लेटफ़ॉर्म को प्रतिदिन भेद्यता डेटाबेस से अपडेट किया जाना चाहिए और उपयोगकर्ताओं को नई भेद्यता और अपडेट के बारे में सूचित करना चाहिए। यह नई भेद्यता और पिछले वाले अपडेट के बीच अंतर करने में सक्षम होना चाहिए और भेद्यता प्रतिक्रियाओं और जोखिम प्रतिक्रियाओं को प्राथमिकता देने के तरीके के बारे में जानकारी प्रदान करना चाहिए। 
    • खतरा खुफिया एकीकरणनीतियों को लागू करते समय संगठन-विशिष्ट नीति नियमों को लागू करने की अद्वितीय क्षमता के साथ-साथ खतरे की खुफिया जानकारी के कई स्रोतों को संयोजित करने से प्लेटफ़ॉर्म और अधिक मजबूत हो जाता है। 
  4. यूजर इंटरफेस और एकीकरण:
    • उपयोगकर्ता के अनुकूल इंटरफेस: इसे मानव-कंप्यूटर इंटरफ़ेस (HCI) मानकों से बंधा होना चाहिए, सुलभ होना चाहिए, और जानकारी का मूल्यांकन करना आसान होना चाहिए। सॉफ़्टवेयर घटकों, कमजोरियों, लाइसेंस, आपूर्तिकर्ताओं, उपयोगकर्ताओं और उपयोगकर्ता संगठनों के बारे में जानकारी विशेषताओं के लिए महत्वपूर्ण ग्राफ़िक प्रतिनिधित्व विधियाँ और प्रारूप हैं। 
    • एपीआई और पारिस्थितिकी तंत्र एकीकरण"एपीआई फर्स्ट" डिज़ाइन का मतलब है कि डेटा को सिस्टम और अन्य सिस्टम के बीच स्वचालित तरीके से आसानी से स्थानांतरित किया जा सकता है। 
  5. स्केलेबल आर्किटेक्चर और कॉन्फ़िगरेशन प्रबंधन:
    • उप-संगठनों के लिए समर्थनमंच में उद्यम के विशिष्ट उप-संगठनों को संबोधित करने के तरीके शामिल होने चाहिए, जिनके जोखिम सहनशीलता के संबंध में अलग-अलग नियम या नीतियां होने की उम्मीद की जा सकती है। 
    • व्यापक कॉन्फ़िगरेशन प्रबंधन: इसमें SBOM कॉन्फ़िगरेशन प्रबंधन को स्केल करने के लिए समाधान प्रस्तुत करना चाहिए, उदाहरण के लिए, SBOMs की संरचना कैसे करें, और परिवर्तनों को कैसे संस्करणित और ट्रैक करें। इसमें ऐसे तरीके भी शामिल होने चाहिए जिनसे एक ही सॉफ़्टवेयर के विभिन्न संस्करणों के SBOMs की जाँच और तुलना की जा सके। 

केंद्रीकृत एसबीओएम प्रबंधन को लागू करना: सर्वोत्तम अभ्यास

 एक केंद्रीकृत एसबीओएम प्रबंधन प्लेटफॉर्म को कार्यान्वित करने में इसकी प्रभावशीलता और दक्षता सुनिश्चित करने के लिए कई सर्वोत्तम प्रथाओं को शामिल किया गया है:

  1. सुरक्षित विनिमय बिंदु स्थापित करें: सॉफ़्टवेयर आपूर्तिकर्ताओं और उपभोक्ताओं के लिए सुरक्षित एक साझा आधार स्थापित किया जाना चाहिए। यह बौद्धिक संपदा की सुरक्षा में सहायता करता है और एसबीओएम सूचना विनिमय की विश्वसनीयता, सटीकता और अद्यतन डेटा को बढ़ावा देता है। 
  2. एसबीओएम डेटा को अन्य सुरक्षा प्रणालियों के साथ एकीकृत करें: अधिग्रहण सुरक्षा, परिसंपत्ति प्रबंधन, खतरा खुफिया और भेद्यता प्रबंधन प्रणाली डेटा के साथ SBOM डेटा को एकीकृत करें। एकीकरण उन जोखिमों को इंगित करने में मदद करता है जो एक सॉफ्टवेयर विकास कंपनी अपने आपूर्तिकर्ताओं और ठेकेदारों के चयन के दौरान सामना कर सकती है और साथ ही सॉफ्टवेयर आपूर्ति श्रृंखला की सामान्य सुरक्षा में सुधार करती है। 
  3. एसबीओएम उत्पादन और प्रबंधन को स्वचालित करें: विभिन्न प्रकार के सॉफ़्टवेयर विकास प्रक्रिया आउटपुट से SBOM उत्पादन और प्रबंधन स्वचालन का उपयोग करें। स्वचालन का उपयोग यह गारंटी देता है कि SBOM वर्तमान और यथासंभव सटीक हैं।
  4. सतत् निगरानी एवं अद्यतनीकरणनिरंतर निगरानी और अद्यतन प्रक्रियाओं को सुनिश्चित करना, जो नई कमजोरियों की पहचान करने में मदद करेगी और उन्हें सॉफ्टवेयर संरचना और जोखिमों की नवीनतम स्थिति को इंगित करने के लिए वर्तमान एसबीओएम में शामिल करेगी।
  5. जोखिम स्कोरिंग और प्राथमिकता निर्धारण: जोखिम के स्तर और संवेदनशीलता सहित सॉफ़्टवेयर घटकों से जुड़े जोखिमों का मूल्यांकन करने के लिए जोखिम रेटिंग तकनीक बनाएं। यह जोखिम प्रबंधन और भेद्यता उन्मूलन प्रक्रियाओं में आवश्यक निर्णय लेने में सहायता करता है। 
  6. उपयोगकर्ता प्रशिक्षण और जागरूकताप्रशिक्षित उपयोगकर्ताओं को एसबीओएम प्रबंधन प्लेटफ़ॉर्म का उपयोग करने के तरीके और प्लेटफ़ॉर्म से प्राप्त होने वाली संभावित जानकारी के बारे में शिक्षित करें। इसलिए, प्लेटफ़ॉर्म की पूरी क्षमता को साकार करने के लिए जागरूकता और शिक्षा महत्वपूर्ण है।
  7. नियमित लेखापरीक्षा और मूल्यांकन: एसबीओएम के निर्माण की हमेशा समीक्षा और मूल्यांकन करें ताकि यह सुनिश्चित हो सके कि कोई सामग्री छूटी नहीं है और एसबीओएम प्रबंधन प्लेटफ़ॉर्म कुशल है। इससे कमियों और उन क्षेत्रों की पहचान करने में सहायता मिलती है जिनमें सुधार की आवश्यकता है। 

सारांश

सॉफ़्टवेयर कंपोजिशन एनालिसिस (SCA) और सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM) सॉफ़्टवेयर सुरक्षा प्रबंधन को बेहतर बनाने में महत्वपूर्ण हैं। SCA का उपयोग ओपन-सोर्स घटकों के उपयोग से संबंधित जोखिमों का आकलन करने और उन्हें कम करने के लिए किया जाता है, जबकि SBOM सभी घटकों की एक विस्तृत सूची बनाता है, जिससे पारदर्शिता के स्तर में सुधार होता है और जोखिमों का प्रबंधन करना आसान हो जाता है। इस तरह, SCA और SBOM का सफल संयोजन संगठन की सॉफ़्टवेयर सुरक्षा प्रोफ़ाइल और जोखिमों के प्रबंधन की स्पष्ट समझ हासिल करने में योगदान देगा। 

 एसबीओएम को केंद्रीकृत प्लेटफ़ॉर्म पर प्रबंधित करने के लिए एक प्रभावी समाधान का विस्तार करना सॉफ़्टवेयर आपूर्ति श्रृंखला में जोखिमों के प्रबंधन के लिए शर्तों पर जोर देता है। ऐसे प्लेटफ़ॉर्म व्यापक जोखिम विवरण, निरंतर वास्तविक समय ट्रैकिंग और अपडेट प्रदान करते हैं, और यह सुनिश्चित करने में मदद करते हैं कि सभी आवश्यकताएं पूरी हों। यदि मार्गदर्शन को प्रभावी ढंग से क्रियान्वित किया जाता है और एसबीओएम प्रबंधन प्लेटफ़ॉर्म की प्रदान की गई कार्यक्षमताओं का लाभ उठाया जाता है, तो किसी संगठन की साइबर सुरक्षा और सॉफ़्टवेयर आपूर्ति श्रृंखला की सुरक्षा काफी मजबूत हो जाएगी। 

 एसबीओएम प्रबंधन पर अधिक विस्तृत मार्गदर्शन के लिए, दस्तावेजों में एनएसए और सीआईएसए द्वारा की गई सिफारिशों का संदर्भ लें, “सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करना: ये “सॉफ्टवेयर बिल ऑफ मैटेरियल्स के उपभोग के लिए सर्वोत्तम अभ्यास” और “सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम) प्रशासन के लिए सिफारिशें” हैं। 

यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.

संबंधित पोस्ट

फ़ीचर इमाहे
एसबीओएम के भविष्य का निर्धारण: सीआईएसए की नई गाइड से अंतर्दृष्टि: साइबर सुरक्षा जोखिम के संतुलन को स्थानांतरित करना

अप्रैल 2023 को CISA ने सॉफ़्टवेयर सुरक्षा के लिए एक नई संयुक्त मार्गदर्शिका जारी की, जिसे साइबर सुरक्षा जोखिम के संतुलन को स्थानांतरित करना: सुरक्षा-दर-डिज़ाइन और डिफ़ॉल्ट सिद्धांत कहा जाता है। गाइड को एनएसए, ऑस्ट्रेलियाई साइबर सुरक्षा केंद्र (एसीएससी), और जर्मनी के संघीय सूचना सुरक्षा कार्यालय (बीएसआई) समेत 9 विभिन्न एजेंसियों के सहयोग से तैयार किया गया था। यह तथ्य कि […]

पिछले दरवाजे की छवि
बचाव के लिए एसबीओएम उपकरण - एक्सजेड यूटिल्स बैकडोर केस

XZ यूटिल्स (CVE-2024-3094) बैकडोर क्या है? CVE-2024-3094, अप्रैल 2024 की शुरुआत में प्रकाशित, एक लिनक्स उपयोगिता में दुर्भावनापूर्ण रूप से डाला गया एक पिछला दरवाजा है। एक जिज्ञासु और सुरक्षा के प्रति जागरूक माइक्रोसॉफ्ट सॉफ्टवेयर इंजीनियर एंड्रेस फ्रायंड ने इसका पता लगाया था, जो मुख्य लिनक्स वितरण में एकीकृत होने के कगार पर था। यदि यह सफल हो जाता, तो सर्वरों की अकल्पनीय संख्या […]

सुविधा छवि
VEX का भविष्य क्या है? और इसका आप पर क्या प्रभाव पड़ेगा?

नई कमजोरियों के उजागर होने की दर लगातार बढ़ रही है। वर्तमान में यह प्रति वर्ष औसतन 15,000 सीवीई है। 2022 में 26,000 से अधिक नए सीवीई की सूचना दी गई है। जाहिर है, सभी कमजोरियाँ आपके सॉफ़्टवेयर के लिए प्रासंगिक नहीं हैं। यह पता लगाने के लिए कि क्या कोई विशेष भेद्यता एक समस्या है, आपको पहले यह पता लगाना होगा […]

लोकप्रिय पोस्ट
स्क्राइब सिक्योरिटी, गार्टनर की सॉफ्टवेयर सप्लाई चेन सिक्योरिटी के लिए लीडर गाइड के साथ कैसे संरेखित होती हैसॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा पर AI का प्रभावएससीए और एसबीओएम: क्या अंतर है?एएसपीएम और सीएसपीएम की तुलना: अंतर और अनुप्रयोगों को समझना
श्रेणियाँ