एसबीओएम का उदय-एसबीओएम के लिए गार्टनर की इनोवेशन इनसाइट रिपोर्ट पर हमारी राय

सभी पद

तृतीय-पक्ष घटकों के बढ़ते उपयोग और लंबी सॉफ़्टवेयर आपूर्ति श्रृंखलाओं के साथ, हमलावर अब एक ही शोषण के माध्यम से एक साथ कई सॉफ़्टवेयर पैकेजों से समझौता कर सकते हैं। इस नए आक्रमण वेक्टर के जवाब में, अधिक विकास और DevOps टीमें, साथ ही सुरक्षा पेशेवर, एक सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM) को शामिल करना चाह रहे हैं।

सॉफ़्टवेयर आपूर्ति श्रृंखला में एप्लिकेशन बनाने के लिए उपयोग की जाने वाली सभी चीजें शामिल हैं, अद्वितीय कोड इंजीनियरों से लेकर उनके द्वारा उपयोग किए जाने वाले विकास उपकरण और कोड बेस में किसी भी तीसरे पक्ष के घटक (मालिकाना और खुला स्रोत) तक। जबकि डेवलपर्स अपने स्वयं के कोड की जिम्मेदारी लेते हैं, एक एस.बी.ओ.एम प्रत्येक तृतीय-पक्ष घटक की सुरक्षा सुनिश्चित करने के लिए आवश्यक जानकारी को ट्रैक करता है। यह भी शामिल है:

  • यह कहां से प्राप्त किया गया था
  • उपयोग में विशिष्ट संस्करण
  • कोई भी ज्ञात कमज़ोरियाँ और पैच स्थिति
  • एप्लिकेशन में इसका उपयोग कहां और कब किया जाता है
  • लाइसेंसिंग जानकारी

और कोई अन्य प्रासंगिक सुरक्षा जानकारी।

अंतिम उत्पाद में जाने वाले कोड की प्रत्येक पंक्ति को समझकर, संगठन सुरक्षित विकास प्रथाओं का प्रदर्शन कर सकते हैं और अपने ग्राहकों को आश्वासन प्रदान कर सकते हैं।

एसबीओएम का व्यापक रूप से उपयोग होने के साथ, आईटी अनुसंधान और परामर्श फर्म गार्टनर ने हाल ही में "एसबीओएम के लिए इनोवेशन इनसाइट" जारी किया,'' अवधारणा, इसके लाभ, उपयोग में आने वाले विभिन्न मानकों और एसबीओएम को लागू करने वाले संगठनों के लिए सिफारिशों का वर्णन करने वाली एक रिपोर्ट।

चूंकि कई लोगों के पास गार्टनर की पूरी रिपोर्ट तक पहुंच नहीं होगी, इसलिए हम कुछ प्रमुख निष्कर्षों के साथ-साथ एसबीओएम के सफल उपयोग के लिए संगठनों को किन बातों पर विचार करने की आवश्यकता है, इस पर अपनी राय प्रस्तुत करते हैं। लेकिन पहले, वर्तमान स्थिति पर चर्चा करते हैं सॉफ़्टवेयर आपूर्ति श्रृंखला पर हमले.

सॉफ़्टवेयर आपूर्ति शृंखलाओं के लिए बढ़ते जोखिम

हालाँकि सॉफ्टवेयर पैकेज खुद को प्रतिस्पर्धा से अलग करने की कोशिश करते हैं और इस बात पर ध्यान केंद्रित करते हैं कि उन्हें क्या अलग बनाता है, बुनियादी कार्यक्षमता के मामले में हमेशा कुछ ओवरलैप होगा। उदाहरण के लिए, प्रत्येक संगठन को उपयोगकर्ता डेटा को एन्क्रिप्ट करने की आवश्यकता होगी, और अधिकांश को कई उपकरणों में समन्वयन पर विचार करने की आवश्यकता होगी। 

जबकि डेवलपर्स इन सामान्य कार्यों को करने के लिए कोड लिखने में महत्वपूर्ण समय और प्रयास खर्च कर सकते हैं, पहले से ही उपयोग में आने वाले तैयार घटकों को शामिल करना बहुत आसान है। चाहे खरीदा गया हो या ओपन-सोर्स, तृतीय-पक्ष कोड विकास प्रक्रिया को सरल बनाता है और बाजार में आने का समय काफी कम कर देता है। 

हालाँकि, यह कमजोरियाँ भी प्रस्तुत करता है। सॉफ़्टवेयर आज आपूर्ति शृंखला की सबसे कमज़ोर कड़ी जितना ही सुरक्षित है। हमलावर इस तथ्य का फायदा उठाते हैं, सॉफ़्टवेयर आपूर्ति श्रृंखला में आमतौर पर उपयोग किए जाने वाले या पुराने घटकों को बढ़ती दर पर लक्षित करते हैं। 

एक हालिया रिपोर्ट फरवरी 216 और जून 2015 के बीच केवल 2019 सॉफ्टवेयर आपूर्ति श्रृंखला हमले पाए गए। यह संख्या जुलाई 929 और मई 2019 के बीच 2020 हमलों तक पहुंच गई, इसके बाद साल-दर-साल 12,000 में 2021 से अधिक सॉफ्टवेयर आपूर्ति श्रृंखला हमलों के साथ विस्फोट हुआ। 650% की वृद्धि.

एक 2021 फॉरेस्टर सर्वेक्षण 530 साइबर सुरक्षा निर्णय निर्माताओं में से पाया गया कि 33% बाहरी हमले अब तीसरे पक्ष की सेवाओं या सॉफ़्टवेयर कमजोरियों से आते हैं।

हमलों में हाल की तेजी को देखते हुए, अमेरिकी सरकार द्वारा किया गया यह कोई आश्चर्य की बात नहीं है सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा एक नई प्राथमिकता. इसमें का विमोचन भी शामिल है सुरक्षित सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) और एक सितंबर 2022 ओएमबी मेमो 2024 वित्तीय वर्ष के लिए साइबर निवेश प्राथमिकताएँ निर्धारित करना, दोनों ही आपूर्ति श्रृंखला जोखिम को कम करने पर पर्याप्त ध्यान देते हैं।

आसमान छूते हमलों, समाचारों में प्रसिद्ध उदाहरणों (उदाहरण के लिए, सोलरविंड्स, लॉग4जे, आदि) और अमेरिकी सरकार द्वारा अलार्म बजाने के साथ, संगठनों को अपनी सॉफ्टवेयर आपूर्ति श्रृंखला की दृश्यता बढ़ाने और प्रत्येक के लिए सामग्री का एक व्यापक सॉफ्टवेयर बिल बनाए रखने की आवश्यकता है। उनके उत्पाद।

बचाव के लिए एसबीओएम! सॉफ़्टवेयर आपूर्ति श्रृंखलाओं में दृश्यता, विश्वास और सुरक्षा बढ़ाना

आवश्यकता आविष्कार की जननी है, और आपूर्ति श्रृंखला पर हमले जितना महत्वपूर्ण खतरा निश्चित रूप से एक समाधान की आवश्यकता है। शुक्र है, एसबीओएम के आविष्कार का मतलब है कि अब हमारे पास लड़ने के लिए उपकरण हैं, यह सुनिश्चित करते हुए कि केवल सुरक्षित और विश्वसनीय घटक ही कोडबेस में शामिल हों।

एसबीओएम आमतौर पर विनिर्माण या निर्माण में पाए जाने वाले सामग्रियों के भौतिक बिल (बीओएम) पर आधारित है। उदाहरण के लिए, ऑटोमोबाइल निर्माता प्रत्येक वाहन में उपयोग किए जाने वाले प्रत्येक घटक को सूचीबद्ध करने के लिए एक बीओएम का उपयोग करते हैं, चाहे वह ओईएम द्वारा बनाया गया हो या किसी तीसरे पक्ष द्वारा। यदि किसी विशेष हिस्से में कोई समस्या उत्पन्न होती है, तो बीओएम निर्माताओं को प्रत्येक प्रभावित वाहन की पहचान करने और मालिक को सूचित करने की अनुमति देता है।

एसबीओएम सॉफ्टवेयर उद्योग के समकक्ष हैं। प्रत्येक उत्पाद में मौजूद प्रत्येक सॉफ़्टवेयर घटक के लिए एक सूची के रूप में कार्य करना। यदि किसी घटक में भेद्यता पाई जाती है, तो संगठन प्रभावित उपयोगकर्ताओं को तुरंत निर्धारित कर सकते हैं और जोखिम को सूचित करने और कम करने की योजना बना सकते हैं।

बड़ी संख्या में ओपन-सोर्स और अन्य तृतीय-पक्ष घटकों को शामिल करने वाले जटिल सॉफ़्टवेयर स्टैक के साथ, किसी उत्पाद के संपर्क में आने वाले हर जोखिम पर नज़र रखना चुनौतीपूर्ण हो सकता है। एसबीओएम विकास, डेवऑप्स और सुरक्षा टीमों और यहां तक ​​​​कि ग्राहकों को इस जोखिम को समझने की अनुमति देते हैं, यह देखने के लिए कि क्या नई पहचानी गई भेद्यता उन्हें प्रभावित करती है।

एसबीओएम इसमें भी मदद करते हैं: 

  • लाइसेंस विषाक्तता को रोकें—जब खुले स्रोत घटक आपकी बौद्धिक संपदा को खोलते हैं, तो आपके उत्पाद को सभी के देखने के लिए उजागर करते हैं।
  • लीगेसी कोड में जोखिम की पहचान करें - संभावित पुराने घटकों या मौजूद किसी भी अन्य जोखिम को निर्धारित करने के लिए प्रत्येक तृतीय-पक्ष लाइब्रेरी, ओपन-सोर्स रिपॉजिटरी, विकास उपकरण और अधिक की पहचान करने के लिए मौजूदा कोड बेस को तोड़ना।

कई लाभों की पेशकश के साथ, एसबीओएम में महत्वपूर्ण वृद्धि देखी जा रही है। हालाँकि, हाल ही में एक रिपोर्ट पाया गया कि जबकि 76% संगठनों के पास एसबीओएम "तत्परता" की डिग्री है, 47 में केवल 2021% सक्रिय रूप से एसबीओएम का उपयोग कर रहे थे। यह आंकड़ा 2022 में तीन-चौथाई से अधिक संगठनों (78%) और लगभग 90% तक बढ़ने का अनुमान है। अगले वर्ष।

एसबीओएम 2021-2023 की अनुमानित वृद्धि का आरेख

स्रोत: VentureBeat

एसबीओएम के लिए गार्टनर की इनोवेशन इनसाइट रिपोर्ट-उच्च स्तरीय सारांश

एसबीओएम पर गार्टनर की 2022 इनोवेशन इनसाइट रिपोर्ट सामग्री के सॉफ्टवेयर बिल के महत्व और कार्यान्वयन पर महत्वपूर्ण जानकारी प्रदान करती है:

“सामग्रियों के सॉफ़्टवेयर बिल सॉफ़्टवेयर आपूर्ति श्रृंखलाओं में मालिकाना और ओपन-सोर्स कोड की दृश्यता, पारदर्शिता, सुरक्षा और अखंडता में सुधार करते हैं। इन लाभों को महसूस करने के लिए, सॉफ्टवेयर इंजीनियरिंग नेताओं को पूरे सॉफ्टवेयर डिलीवरी जीवन चक्र में एसबीओएम को एकीकृत करना चाहिए।

संगठन अक्सर मालिकाना और ओपन-सोर्स निर्भरता की दृश्यता बनाए रखने के लिए संघर्ष करते हैं, जिससे महत्वपूर्ण उत्पादन होता है सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा जोखिम और संभावित अनुपालन मुद्दे। ऐसा इसलिए है क्योंकि उनके पास पर्याप्त उपकरणों की कमी है या वे सुरक्षित विकास प्रथाओं और मानकों को लागू करने में विफल हैं। 

एसबीओएम के साथ, डेवलपर्स अपने सॉफ्टवेयर पैकेज में तीसरे पक्ष के कोड के प्रत्येक टुकड़े पर सुरक्षा विवरण खोज और संकलित कर सकते हैं। सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों में वृद्धि ओपन-सोर्स या वाणिज्यिक कोड को एक वायुरोधी, सुरक्षित "ब्लैक बॉक्स" के रूप में मानने की विफलता को दर्शाती है। 

यह जाने बिना कि "बॉक्स" के अंदर क्या है, आप कभी भी वास्तव में उन जोखिमों को नहीं समझ सकते जिनसे आपका सॉफ़्टवेयर उजागर होता है। इसलिए, सबसे अच्छा समाधान यह है कि ज्ञात कमजोरियों की जांच करने के लिए आपके द्वारा उपयोग किए जाने वाले प्रत्येक "बॉक्स" को सावधानीपूर्वक ट्रैक किया जाए।

गार्टनर प्रत्येक संगठन की अनुशंसा करता है:

  • उनके द्वारा उत्पादित प्रत्येक सॉफ़्टवेयर पैकेज के लिए एक एसबीओएम उत्पन्न करें
  • उपयोग किए गए सभी सॉफ़्टवेयर के लिए एसबीओएम सत्यापित करें (या तो ओपन-सोर्स या वाणिज्यिक)
  • नए सुरक्षा जोखिमों को समझने के लिए एसबीओएम डेटा का लगातार पुनर्मूल्यांकन करें (तैनाती से पहले और बाद में दोनों)

तेजी से बढ़ते खतरे वाले सॉफ्टवेयर आपूर्ति श्रृंखला परिदृश्य को देखते हुए, गार्टनर का अनुमान है कि महत्वपूर्ण बुनियादी ढांचे के लिए सॉफ्टवेयर बनाने या खरीदने वाले 60% संगठन एसबीओएम को अनिवार्य करेंगे। यह 20 में मौजूदा संख्या (2022%) से तीन गुना है।

“एसबीओएम आपकी सुरक्षा और अनुपालन टूलबॉक्स में एक आवश्यक उपकरण हैं। वे सॉफ़्टवेयर अखंडता को लगातार सत्यापित करने और हितधारकों को सुरक्षा कमजोरियों और नीति उल्लंघनों के प्रति सचेत करने में मदद करते हैं।

यह सब आप पर कैसे प्रभाव डालता है?

तो, यह सब आपके और आपके संगठन के लिए क्या मायने रखता है? गार्टनर अनुशंसा करता है कि संगठन:

  • सॉफ़्टवेयर विकास जीवन चक्र में प्रत्येक घटक को ध्यान में रखते हुए, संपूर्ण सॉफ़्टवेयर आपूर्ति श्रृंखला में निर्भरता को ट्रैक करने के लिए एसबीओएम का उपयोग करें
  • अपने उत्पादों को व्यवस्थित रूप से स्कैन और सत्यापित करने के लिए टूल का उपयोग करके एसबीओएम की पीढ़ी को स्वचालित करें
  • सॉफ़्टवेयर आपूर्ति श्रृंखला में पाए जाने वाले किसी भी प्रभावित घटक पर तुरंत प्रतिक्रिया दें
  • प्रत्येक नए सॉफ्टवेयर आर्टिफैक्ट के साथ एसबीओएम को अपडेट करें, यानी, केवल प्रोजेक्ट की शुरुआत के बजाय निर्माण प्रक्रिया के दौरान एसबीओएम बनाना
  • केवल सत्यापित और सुरक्षित एसबीओएम वाले मॉड्यूल का पुन: उपयोग करें
  • सॉफ्टवेयर पैकेज डेटा एक्सचेंज (एसपीडीएक्स), सॉफ्टवेयर आइडेंटिफिकेशन (एसडब्ल्यूआईडी), या साइक्लोनडीएक्स जैसे व्यापक रूप से समर्थित प्रारूपों के आधार पर एक मानक-आधारित एसबीओएम प्रक्रिया लागू करें।
  • सुनिश्चित करें कि आप जिन व्यावसायिक सॉफ़्टवेयर प्रदाताओं के साथ काम करते हैं, वे भी मानक-आधारित दृष्टिकोण के साथ एसबीओएम का उपयोग करें
  • एसबीओएम और उद्गम डेटा को हितधारकों के साथ साझा करें, जिससे उन्हें प्रभावित घटकों और जोखिम से संबंधित डेटा के बारे में पता चल सके

एसबीओएम आधुनिक सॉफ्टवेयर सुरक्षा के लिए महत्वपूर्ण उपकरण हैं। लेकिन पूरे उद्योग में स्थिति में सुधार करने के लिए, उन्हें संगठन के अंदर और बाहर सुलभ बनाने की आवश्यकता है। एसबीओएम के रूप में भेद्यता डेटा साझा करने से हितधारकों का विश्वास और भरोसा भी बढ़ता है, जिससे उन्हें पता चलता है कि उनके द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर में कोई ज्ञात भेद्यता मौजूद नहीं है।

स्क्राइब सिक्योरिटी साझाकरण क्षमताओं के साथ एक होस्टेड एसबीओएम प्रबंधन मंच प्रदान करता है। सहायता करने वाले संगठन कंटेनर की अखंडता की गारंटी देते हैं और उनके द्वारा उत्पादित सॉफ़्टवेयर पर कार्रवाई योग्य अंतर्दृष्टि प्रदान करते हैं। शीघ्र पहुंच के लिए साइन अप करके निःशुल्क आरंभ करें मुंशी मंच.

स्क्राइब सिक्योरिटी गार्टनर की रिपोर्ट पर विचार करती है—पारदर्शिता और साक्ष्य महत्वपूर्ण हैं

At मुंशी सुरक्षा, हमारा मानना ​​​​है कि एसबीओएम विस्तारित आपूर्ति श्रृंखलाओं के शीर्ष पर निर्मित आधुनिक सॉफ्टवेयर पैकेजों की सुरक्षा के लिए महत्वपूर्ण हैं। एसबीओएम संपूर्ण आपूर्ति श्रृंखला की शुरू से अंत तक दृश्यता की गारंटी के लिए विकास प्रक्रिया का व्यापक रूप से दस्तावेजीकरण करते हैं। हमारा प्लेटफ़ॉर्म एसबीओएम की दृश्यता को पारदर्शिता के साथ जोड़ता है, टीमों और संगठनों में सुविधाओं को साझा करने के लिए धन्यवाद।

स्क्राइब एक केंद्र प्रदान करता है जहां सॉफ्टवेयर निर्माता और उपभोक्ता दोनों विभिन्न सॉफ्टवेयर पैकेजों या घटकों की विश्वसनीयता पर सत्यापन साझा करने के लिए एक साथ आ सकते हैं। हम विकास के दौरान परिवर्तनों पर नज़र रखने वाले डिजिटल हस्ताक्षर एकत्र करने के लिए क्रिप्टोग्राफ़िक तकनीकों का उपयोग करते हैं। ये हस्ताक्षर किसी सॉफ़्टवेयर की आपूर्ति श्रृंखला की वैधता और सुरक्षा की गारंटी देने वाला साक्ष्य आधार सुनिश्चित करते हैं।

यहां तक ​​कि छोटे परिचालन जो इस समय एसबीओएम उत्पन्न करने पर विचार नहीं कर रहे हैं, उन्हें भी प्रक्रिया को समझने से लाभ हो सकता है। स्क्राइब निरंतर स्कैन प्रदान करता है, भले ही आपके पास उत्पादन में एक स्थिर संस्करण हो, ताकि आप नई कमजोरियों की जांच कर सकें और अपने सॉफ़्टवेयर विकास जीवनचक्र में रुझानों की पहचान कर सकें।

सारांश

सॉफ़्टवेयर आपूर्ति श्रृंखला हमलों की अविश्वसनीय वृद्धि के साथ, संगठनों को उनके द्वारा बनाए गए सॉफ़्टवेयर उत्पादों और उनके द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर उत्पादों की सुरक्षा की गारंटी के लिए नए तरीकों पर विचार करने की आवश्यकता है। 

पहला कदम सॉफ्टवेयर पैकेज कोडबेस में मौजूद सभी घटकों का विवरण देते हुए सामग्रियों का एक सॉफ्टवेयर बिल तैयार करना है। जो चल रहा है उसे समझने से संगठनों को कमजोरियों से आगे रहने और एप्लिकेशन बिल्ड की अखंडता को साझा करने की अनुमति मिलती है।

एसबीओएम पर गार्टनर की हालिया रिपोर्ट स्थिति को अच्छी तरह से बताती है:

“एसबीओएम संगठनों को यह निर्धारित करने में मदद करते हैं कि क्या वे सॉफ़्टवेयर घटकों में पहले से पहचानी गई सुरक्षा कमजोरियों के प्रति संवेदनशील हैं। इन घटकों को आंतरिक रूप से विकसित, व्यावसायिक रूप से खरीदा जा सकता है या ओपन-सोर्स सॉफ़्टवेयर लाइब्रेरीज़ किया जा सकता है। एसबीओएम कोड उत्पत्ति और घटकों के बीच संबंधों के बारे में जानकारी उत्पन्न और सत्यापित करते हैं, जो सॉफ्टवेयर इंजीनियरिंग टीमों को विकास (उदाहरण के लिए, कोड इंजेक्शन) और तैनाती (उदाहरण के लिए, बाइनरी छेड़छाड़) के दौरान दुर्भावनापूर्ण हमलों का पता लगाने में मदद करता है।

बैनर

यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.