सीआईएसए की एसबीओएम शेयरिंग जीवनचक्र रिपोर्ट से हम क्या सीख सकते हैं

अप्रैल 2023 को डीएचएस, सीआईएसए, डीओई और सीईएसईआर ने 'शीर्षक से एक रिपोर्ट जारी की।सॉफ़्टवेयर सामग्री बिल (एसबीओएम) साझा जीवनचक्र रिपोर्ट'. रिपोर्ट का उद्देश्य वर्तमान तरीकों की जांच करना था जिसमें लोग एसबीओएम साझा कर रहे हैं और साथ ही सामान्य शब्दों में यह रूपरेखा तैयार करना था कि सॉफ्टवेयर में बेहतर पारदर्शिता को सक्षम करने के लिए अधिक परिष्कार के साथ इस साझाकरण को बेहतर तरीके से कैसे किया जा सकता है।

रिपोर्ट एसबीओएम साझाकरण जीवनचक्र को तीन चरणों में विभाजित करती है: डिस्कवरी, एक्सेस और ट्रांसपोर्ट। खोज यह है कि उपयोगकर्ता या उपभोक्ता किसी लेखक या प्रदाता से नए एसबीओएम के अस्तित्व के बारे में कैसे जागरूक हो सकता है। पहुँच यह है कि कोई उपयोगकर्ता या उपभोक्ता इस एसबीओएम और इसके साथ जुड़े सभी प्रासंगिक डेटा (एसबीओएम संवर्धन) तक कैसे पहुंच सकता है। ट्रांसपोर्ट इस प्रकार कोई उपभोक्ता एसबीओएम प्राप्त कर सकता है। सभी मामलों में प्रक्रिया जितनी अधिक स्वचालित होगी, इसमें शामिल सभी पक्षों के लिए उतना ही बेहतर होगा। 

हालाँकि रिपोर्ट में किसी भी उपकरण का विशेष रूप से उल्लेख नहीं किया गया है, लेकिन इसमें विभिन्न उदाहरण और ऐसे वांछित उपकरणों की विशेषताओं की सूचियाँ शामिल हैं।

हम यहां स्क्राइब में यह जानकर रोमांचित थे कि हमारा मंच, जो साझा करने में सक्षम बनाता है एसबीएम इसके मूल उपयोग के हिस्से के रूप में जानकारी को प्रकाशित आवश्यकताओं की सूची के विरुद्ध जाँचने पर बहुत अधिक अंक मिलते हैं।

इस लेख में, हम रिपोर्ट में निर्दिष्ट एसबीओएम साझाकरण जीवनचक्र के 3 भागों पर चर्चा करेंगे और सीआईएसए द्वारा देखे गए सबसे परिष्कृत समाधान की जांच करेंगे।. हम कैसे का वर्णन करके अपनी बात समाप्त करेंगे मुंशी का मंच इन आवश्यकताओं का उत्तर देता है। 

एसबीओएम साझा जीवनचक्र परिष्कार

खोज यह जीवनचक्र का प्रारंभिक चरण है और इसमें यह शामिल है कि उपभोक्ता किसी लेखक या प्रदाता से एसबीओएम के अस्तित्व के बारे में कैसे जागरूक होता है। यह किसी विक्रेता की वेबसाइट या सॉफ़्टवेयर रिपॉजिटरी के भीतर एक मानकीकृत प्लेसमेंट में एक नया एसबीओएम रखने जितना आसान हो सकता है। उपभोक्ता को यह स्पष्ट होना चाहिए कि इस एसबीओएम डेटा तक पहुंच कैसे प्राप्त करें या कम से कम अनुरोध करें ताकि वे बाद में इसे एक्सेस कर सकें और इसे अपने उपयोग के लिए डाउनलोड कर सकें। कभी-कभी उपभोक्ता को प्रदाता के संपर्क में रहना होगा और अपने एसबीओएम पर अपडेट मांगना होगा। वैकल्पिक रूप से, स्वचालित निरंतर अपडेट उपलब्ध कराया जा सकता है।

एक उच्च-परिष्कार दृष्टिकोण, जैसा कि रिपोर्ट में कहा गया है, उपभोक्ता के जीवन को आसान बनाने के लिए प्रदाता पर खोज का अधिक दायित्व डालता है। आदर्श रूप से, एक प्रसिद्ध और अच्छी तरह से प्रलेखित प्रक्रिया हो सकती है जो स्वचालन के लिए आदर्श है और इसमें मैन्युअल रूप से करने की बहुत कम आवश्यकता है। उदाहरण के तौर पर, एक प्रदाता एक विकसित कर सकता है प्रकाशित/सदस्यता लें सेवा जो स्वचालित रूप से उपयोगकर्ताओं को नए एसबीओएम के साथ-साथ मौजूदा एसबीओएम के अद्यतन संस्करणों और उन्हें ढूंढने के लिए एक तंत्र के बारे में जानकारी अपडेट करेगी। इसके अतिरिक्त, अप्रासंगिक जानकारी छिपाते समय ग्राहकों को अनुरोधित जानकारी की ओर निर्देशित करने में अधिक परिष्कृत स्तर अधिक सटीक होना चाहिए।

पहुँच यह अगला कदम है और इसमें बताया गया है कि डेटा तक पहुंच कैसे प्राप्त करें। इस चरण का जोर एसबीओएम पर लगाए गए पहुंच प्रतिबंधों पर है और उपयोगकर्ता परिवहन चरण पर आगे बढ़ने की अनुमति कैसे प्राप्त करेगा। सबसे आसान तरीका यह है कि एसबीओएम को जनता के लिए पूरी तरह से सुलभ बनाया जाए और इसके लिए पहुंच नियंत्रण स्थापित करने की आवश्यकता भी न पड़े। लेकिन, वास्तविक रूप से, एक प्रदाता यह मांग कर सकता है कि एसबीओएम को एक भंडार में रखा जाए जहां किसी विशिष्ट प्राप्तकर्ता को दिए जाने से पहले उन तक पहुंच को मैन्युअल रूप से अनुमोदित या भूमिका-परिभाषित करने की आवश्यकता होती है। इसके अतिरिक्त, एसबीओएम को यह गारंटी देने के लिए विशिष्ट एक्सेस कंट्रोल ग्रैन्युलैरिटी की आवश्यकता हो सकती है कि ग्राहक केवल किसी उत्पाद से जुड़े विशेष एसबीओएम संस्करण देख सकते हैं या डेटा के विशेष भागों तक पहुंच सकते हैं।

उच्च-परिष्कार दृष्टिकोण में एक उपभोक्ता एसबीओएम देखने के लिए पहुंच का अनुरोध कर सकता है और एक प्रतिबंधित खाता स्वचालित रूप से बनाया जा सकता है। यदि कोई उपभोक्ता यह सबूत दिखा सकता है कि उन्होंने एक उपकरण या सॉफ्टवेयर का टुकड़ा खरीदा है जो कि एसबीओएम के लिए प्रासंगिक है, जैसे कि सॉफ्टवेयर कुंजी, तो एसबीओएम तक पहुंच स्वचालित रूप से प्रदान की जा सकती है। भूमिकाओं या संगठन-स्तरीय पहुंच नियंत्रण के साथ, उच्च स्तर की अनुमति ग्रैन्युलैरिटी होती है। प्रत्येक वांछित गतिविधि की अनुमतियों का विश्लेषण करने और समझने के साथ-साथ ग्राहक खरीद को स्वचालित रूप से मान्य करने के लिए आवश्यक डेटा को ट्रैक करने की आवश्यकता के कारण इस सुविधा के लिए उच्च स्तर के परिष्कार की आवश्यकता होती है। प्रमाणपत्र हस्ताक्षर का उपयोग करके सार्वजनिक कुंजी इंफ्रास्ट्रक्चर प्रतिनिधिमंडल जैसी प्रणाली का उपयोग करके, एक प्रदाता और भी उच्च स्तर के परिष्कार के लिए प्रमाणीकरण और पहुंच नियंत्रण अनुरोधों को किसी अन्य संगठन को सौंपने में सक्षम हो सकता है।

ट्रांसपोर्ट अंतिम चरण है और यह उस विधि का विवरण देता है जिसके द्वारा उपभोक्ता एसबीओएम प्राप्त करता है। एसबीओएम को विभिन्न तरीकों का उपयोग करके एक स्थान से दूसरे स्थान तक या एक स्थान से कई स्थानों तक पहुंचाया जा सकता है। यह प्रक्रिया दूसरों की तुलना में कुछ तरीकों से अधिक प्रभावी ढंग से सुगम होती है। यदि एसबीओएम परिवहन में केवल एक एसबीओएम की आवाजाही शामिल है तो हार्ड ड्राइव पर संग्रहीत और लेखक से उपभोक्ता को भेजी गई एक प्रति पर्याप्त हो सकती है। यदि बड़े उपभोक्ता आधार को इसकी आवश्यकता हो तो एक ऐसी विधि उपलब्ध कराई जानी चाहिए जो ग्राहकों को एसबीओएम को सुरक्षित रूप से पुनः प्राप्त करने में सक्षम बनाती है। उपभोक्ता के लिए डेटा का उपयोग करने के लिए यह चरण आवश्यक है। ध्यान रखें कि अधिकांश व्यावहारिक एसबीओएम उपयोगों के लिए मशीन-पठनीय प्रारूप की आवश्यकता होती है, इसलिए परिवहन को इसे ध्यान में रखना होगा।

स्थापित प्रोटोकॉल का उपयोग करते हुए, यथासंभव अधिक से अधिक परिवहन स्वचालन को सक्षम करने के लिए परिवहन चरण प्रक्रिया को पूरी तरह से प्रलेखित किया जाना चाहिए। एक एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) सुलभ, दोहराने योग्य और सुसंगत होना चाहिए। ओपनएपीआई इंटरफ़ेस को उच्च-परिष्कार के रूप में वर्गीकृत करने के लिए पर्याप्त होगा यदि यह एक रिप्रेजेंटेशनल स्टेट ट्रांसफर (आरईएसटी) या रेस्टफुल एपीआई के लिए दस्तावेज़ीकरण प्रदान करता है। 13 अन्य एपीआई मानक, जैसे सिंपल ऑब्जेक्ट एक्सेस प्रोटोकॉल (एसओएपी) या ग्राफ क्वेरी लैंग्वेज (ग्राफक्यूएल) को भी पर्याप्त माना जा सकता है। REST मानकीकृत इंटरफ़ेस का सिर्फ एक लोकप्रिय उदाहरण है। वास्तव में, कोई भी इंटरफ़ेस जो एकीकरण में आसानी के तुलनीय स्तर की पेशकश करता है, उच्च परिष्कार के रूप में वर्गीकृत होने के लिए पर्याप्त है। 

स्क्राइब प्लेटफ़ॉर्म आवश्यकताओं का उत्तर कैसे देता है?

स्क्राइब ने एक प्लेटफ़ॉर्म विकसित किया जो स्वचालित को सक्षम बनाता है प्रकाशित/सदस्यता लें सेवा. एक सॉफ़्टवेयर निर्माता अपनी CI पाइपलाइनों को प्लेटफ़ॉर्म से लिंक कर सकता है ताकि हर बार जब वे बिल्ड चलाएँ तो एक संबंधित SBOM बनाया जाए। फिर इन एसबीओएम को अतिरिक्त जानकारी से समृद्ध किया जाता है और विशिष्ट परियोजना, निर्माण पाइपलाइन, तिथि और समय के आधार पर उन तक पहुंचा जा सकता है। निर्माता प्रत्येक परियोजना में ग्राहक जोड़ सकते हैं ताकि एक बार वे निर्णय ले सकें प्रकाशित करना एक नया सॉफ्टवेयर संस्करण. सभी ग्राहकों को सूचित किया जाता है और उन्हें तुरंत पूरी पहुंच प्राप्त होती है, न केवल नए एसबीओएम तक बल्कि इसके साथ जुड़ी अन्य सभी सुरक्षा सूचनाओं तक भी। ग्राहक अपने खाली समय में एसबीओएम तक पहुंच सकते हैं और वे जब चाहें उन्हें डाउनलोड कर सकते हैं।

एक बार जब बिल्ड पाइपलाइन लिंक हो जाता है और एक ग्राहक अनुमोदन कर देता है कि वे डेटा में रुचि रखते हैं, तो सूचना की पूरी धारा स्वचालित हो जाती है और इसके लिए बहुत कम या किसी मैन्युअल हस्तक्षेप की आवश्यकता नहीं होती है। सुरक्षा डेटा स्क्राइब द्वारा एन्क्रिप्ट और सुरक्षित किया गया है और केवल निर्माता और अनुमोदित ग्राहकों के पास ही पहुंच है। खोज स्वचालित है, पहुंच निर्माता द्वारा निर्धारित की जाती है और परिवहन ग्राहक की इच्छा पर निर्भर करता है। 

एसबीओएम शेयरिंग का भविष्य

इन दिनों एसबीओएम साझाकरण एक स्वचालित प्रणाली की तुलना में ईमेल द्वारा किए जाने की अधिक संभावना है लेकिन यह दृष्टिकोण स्केलेबल नहीं है। अधिक साझाकरण को सक्षम करने के लिए स्क्राइब जैसे अधिक टूल और प्लेटफ़ॉर्म को उपलब्ध, उपयोग में आसान और सुलभ बनाने की आवश्यकता है। विभिन्न हितधारकों की आवश्यकताओं के लिए डिज़ाइन किए गए विभिन्न साझाकरण समाधान एसबीओएम साझाकरण पारिस्थितिकी तंत्र के लिए फायदेमंद होंगे। ये स्थितियाँ मौजूद हैं क्योंकि किसी दिए गए आपूर्तिकर्ता से उनके ग्राहकों द्वारा विभिन्न परिवहन विधियों का उपयोग करने का अनुरोध किया जा सकता है, और एक ग्राहक को उनके अपस्ट्रीम भागीदारों द्वारा विभिन्न तरीकों का उपयोग करके एसबीओएम डेटा प्रदान किया जा सकता है। हमें और अधिक समाधानों की आवश्यकता है जो पहचानी गई विशेष स्थितियों से निपटने के साथ-साथ, व्यावहारिक होने पर, मैन्युअल प्रक्रियाओं को दूर करने और अंतरसंचालनीयता में बाधा डालने वाली कार्रवाइयों से बचने का प्रयास कर सकें। उद्योग का उद्देश्य कई एसबीओएम साझाकरण समाधानों के उद्भव को रोकना होना चाहिए जो एक बड़ी आपूर्ति श्रृंखला में एक दूसरे के साथ असंगत हैं क्योंकि इससे मौजूदा समस्याएं ही बढ़ेंगी।

के बाद से स्क्राइब प्लेटफार्म निःशुल्क है एक महीने में 100 बिल्ड तक उपयोग करने के लिए मैं आपको इसे आज़माने और यह देखने के लिए प्रोत्साहित करता हूं कि प्लेटफ़ॉर्म आपकी कितनी सुरक्षा और नियामक आवश्यकताओं को पूरा करता है। हमें अभी भी एक वास्तविक सार्वभौमिक मंच के लिए एक लंबा रास्ता तय करना है जो हमारी दृष्टि को पूरा करता है लेकिन यह एक अच्छा शुरुआती बिंदु है जिसे हम दुनिया के साथ साझा करने के लिए उत्सुक हैं।

संबंधित पोस्ट

एसबीओएम का उदय-एसबीओएम के लिए गार्टनर की इनोवेशन इनसाइट रिपोर्ट पर हमारी राय

तृतीय-पक्ष घटकों के बढ़ते उपयोग और लंबी सॉफ़्टवेयर आपूर्ति श्रृंखलाओं के साथ, हमलावर अब एक ही शोषण के माध्यम से एक साथ कई सॉफ़्टवेयर पैकेजों से समझौता कर सकते हैं। इस नए आक्रमण वेक्टर के जवाब में, अधिक विकास और DevOps टीमें, साथ ही सुरक्षा पेशेवर, एक सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM) को शामिल करना चाह रहे हैं। सॉफ़्टवेयर आपूर्ति श्रृंखला […]

सीआईएसए का सुरक्षित सॉफ्टवेयर स्व-सत्यापन सामान्य फॉर्म: दायित्व के लिए एक महत्वपूर्ण मोड़

सितंबर 2022 को, संयुक्त राज्य अमेरिका प्रबंधन और बजट कार्यालय (ओएमबी) ने अमेरिकी संघीय सरकार द्वारा स्वीकार्य डिग्री तक आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने के लिए आवश्यक कदमों के संबंध में एक ऐतिहासिक ज्ञापन जारी किया। कोई भी कंपनी जो सरकार और सॉफ़्टवेयर बनाने वाली किसी संघीय एजेंसी के साथ व्यापार करना चाहती है, उसे इसका अनुपालन करना होगा […]

VEX का भविष्य क्या है? और इसका आप पर क्या प्रभाव पड़ेगा?

नई कमजोरियों के उजागर होने की दर लगातार बढ़ रही है। वर्तमान में यह प्रति वर्ष औसतन 15,000 सीवीई है। 2022 में 26,000 से अधिक नए सीवीई की सूचना दी गई है। जाहिर है, सभी कमजोरियाँ आपके सॉफ़्टवेयर के लिए प्रासंगिक नहीं हैं। यह पता लगाने के लिए कि क्या कोई विशेष भेद्यता एक समस्या है, आपको पहले यह पता लगाना होगा […]