सॉफ्टवेयर आपूर्ति श्रृंखलाओं पर हाल ही में हमलों में वृद्धि के बाद से, सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम) पीढ़ी विकास का एक मुख्य कदम बन गया है जिसे टीमों को सॉफ्टवेयर बनाने और सुरक्षित रूप से शिप करने के लिए पूरा करना होगा। एक एस.बी.ओ.एम एक व्यापक सूची है जो किसी सॉफ़्टवेयर उत्पाद में उपयोग किए जाने वाले सभी सॉफ़्टवेयर घटकों का विवरण देती है। एसबीओएम सुरक्षा का उद्देश्य सॉफ्टवेयर आपूर्ति श्रृंखला के भीतर पारदर्शिता और पता लगाने की क्षमता सुनिश्चित करना है, जिससे संगठनों को संभावित सुरक्षा कमजोरियों और अनुपालन जोखिमों की पहचान करने और उन्हें सुधारने की अनुमति मिलती है।
लेकिन एसबीओएम बनाना और प्रबंधित करना एक जटिल काम है, खासकर बड़े सॉफ्टवेयर पोर्टफोलियो वाले संगठनों के लिए। किसी उत्पाद में उपयोग किए गए सभी सॉफ़्टवेयर घटकों की पहचान करना और उनकी सटीकता सुनिश्चित करते हुए सभी अपडेट और पैच पर नज़र रखना एक व्यवस्थित दृष्टिकोण की आवश्यकता है।
इस लेख में, हम एसबीओएम को प्रभावी ढंग से प्रबंधित करने के लिए सर्वोत्तम प्रथाओं और रणनीतियों, एसबीओएम प्रबंधन से जुड़ी चुनौतियों और आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला को सुरक्षित रखने के लिए इस प्रक्रिया को कैसे सरल बनाया जाए, इस पर चर्चा करेंगे।
एसबीओएम प्रबंधन क्या है?
सामग्री का सॉफ़्टवेयर बिल बनाना आपके सॉफ़्टवेयर की सुरक्षा बनाए रखने की प्रक्रिया में पहला कदम है। लेकिन सॉफ़्टवेयर घटकों की सूची बनाना पर्याप्त नहीं है; आपको अपने एसबीओएम को ट्रैक, सत्यापित, संपादित और प्रबंधित करने की आवश्यकता है। ऐसा करने से यह सुनिश्चित होता है कि आप न केवल अपने सॉफ़्टवेयर के घटकों से अवगत हैं, बल्कि आप वास्तव में व्यक्तिगत घटकों के सभी जोखिमों और अपने सॉफ़्टवेयर पर उनके प्रभाव को समझते हैं।
एसबीओएम प्रबंधन आपके सॉफ़्टवेयर सामग्री बिल को ट्रैक करने की प्रक्रिया है क्योंकि यह आपके DevOps पाइपलाइन में उत्पन्न होता है। आपके एसबीओएम के प्रबंधन में आपके एसबीओएम दस्तावेज़ तैयार करना, भंडारण करना, विश्लेषण करना और निगरानी करना शामिल है। अपने ऐप जीवनचक्र में इन एसबीओएम प्रबंधन कार्यों को पूरा करने से आपको सॉफ़्टवेयर निर्भरता की पहचान करने और अपनी आपूर्ति श्रृंखला की सुरक्षा में सुधार करने में मदद मिलती है।
आपके एसबीओएम का कोई उपयोग नहीं है जब इसे बिल्ड निर्देशिका के भीतर निष्क्रिय छोड़ दिया जाता है जहां इसे उत्पन्न किया गया था। एसबीओएम प्रबंधन आपको इस डेटा का लाभ उठाने में मदद करता है ताकि आप कार्रवाई योग्य अंतर्दृष्टि उत्पन्न कर सकें और अपने सॉफ़्टवेयर पैकेज के ओपन-सोर्स घटकों और सॉफ़्टवेयर आपूर्ति श्रृंखला पर उनके प्रभाव को बेहतर ढंग से समझ सकें। भेद्यता स्कैनिंग और रिपोर्टिंग भी एसबीओएम प्रबंधन के पहलू हैं।
इसलिए सामग्री के सॉफ़्टवेयर बिल तैयार करना DevOps प्रक्रिया का एक महत्वपूर्ण हिस्सा है, SBOM प्रबंधन की सतत प्रक्रिया और भी महत्वपूर्ण है। यह आपको भेद्यता वार्मिंग सिस्टम, शून्य-विश्वास नीतियों और दीर्घकालिक सॉफ़्टवेयर आपूर्ति श्रृंखला इंटेलिजेंस का पूरी तरह से लाभ उठाने और कार्यान्वित करने की अनुमति देता है।
एसबीओएम प्रबंधन में अंतर्दृष्टि
आपूर्ति शृंखला में विभिन्न सॉफ्टवेयर के लिए खतरों की बढ़ती संख्या को ध्यान में रखते हुए, गार्टनर ने भविष्यवाणी की है कि महत्वपूर्ण बुनियादी ढांचे के रूप में सॉफ्टवेयर पर भरोसा करने वाले 60% संगठन आने वाले वर्षों में एसबीओएम के उपयोग को अनिवार्य करना शुरू कर देंगे। इसके अनुसार है एसबीओएम पर गार्टनर की 2022 इनोवेशन इनसाइट रिपोर्ट जो एसबीओएम प्रबंधन कार्यक्रम को लागू करने के महत्व के बारे में महत्वपूर्ण जानकारी प्रदान करता है।
रिपोर्ट सॉफ्टवेयर आपूर्ति श्रृंखलाओं में उपयोग किए जाने वाले कोड की दृश्यता, अखंडता, पारदर्शिता और सुरक्षा में सुधार के लिए एसबीओएम साइबर सुरक्षा के महत्व को पहचानती है। सॉफ़्टवेयर के घटकों को जाने बिना, इस सॉफ़्टवेयर के जोखिमों और कमजोरियों की सीमा को समझना मुश्किल है। सबसे अच्छा समाधान बस किसी एप्लिकेशन में प्रत्येक सॉफ़्टवेयर को ट्रैक करना और ज्ञात कमजोरियों के डेटाबेस के विरुद्ध उनकी जांच करना है ताकि यह सुनिश्चित हो सके कि वे सुरक्षित हैं।
गार्टनर की रिपोर्ट के अनुसार, प्रत्येक संगठन को अपने द्वारा बनाए जाने वाले प्रत्येक सॉफ्टवेयर पैकेज के लिए एक एसबीओएम तैयार करने में निवेश करना चाहिए। इसके बाद, उन्हें अपने द्वारा उपयोग किए जाने वाले सभी सॉफ़्टवेयर के एसबीओएम को सत्यापित करना चाहिए। निरंतर एसबीओएम प्रबंधन की भी आवश्यकता है ताकि वे ऐप तैनात होने के बाद भी नए सुरक्षा जोखिमों को समझने के लिए डेटा का पुनर्मूल्यांकन कर सकें।
सामग्री प्रबंधन के प्रभावी सॉफ्टवेयर बिल के लिए रणनीतियाँ
संगठन एसबीओएम प्रबंधन को प्राथमिकता देकर अपने द्वारा बनाए या उपयोग किए जाने वाले सॉफ़्टवेयर की सुरक्षा और अनुपालन सुनिश्चित कर सकते हैं। किसी संगठन के सॉफ़्टवेयर सामग्री बिल को प्रभावी ढंग से प्रबंधित करने के लिए कुछ रणनीतियाँ निम्नलिखित हैं।
एसबीओएम जनरेशन को स्वचालित करें
आपके सॉफ़्टवेयर के प्रत्येक पुनरावृत्ति के लिए सामग्री का एक सॉफ़्टवेयर बिल बनाया जाना चाहिए। लेकिन डेवलपर्स को इसे हासिल करने में कठिनाई होगी यदि उन्हें प्रत्येक निर्माण के लिए मैन्युअल रूप से एसबीओएम उत्पन्न करने की आवश्यकता होगी। इसलिए एसबीओएम पीढ़ी इसे आपके सॉफ़्टवेयर डिलीवरी पाइपलाइन में बनाया जाना चाहिए। स्वचालन राष्ट्रीय दूरसंचार और सूचना प्रशासन (एनटीआईए) द्वारा अनुशंसित एसबीओएम पीढ़ी के लिए "मशीन गति" प्राप्त करना संभव बनाता है।
एसबीओएम स्वचालन आपके एसबीओएम दस्तावेज़ीकरण की अखंडता और विश्वसनीयता भी बढ़ती है। विकास पाइपलाइन के भीतर उत्पन्न स्वचालित एसबीओएम को क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित किया जा सकता है, जिससे उपयोगकर्ताओं को यह साबित होता है कि एसबीओएम में सॉफ़्टवेयर घटकों की सूची प्रामाणिक है।
संरचित स्वरूपण
आपके सॉफ़्टवेयर सामग्री बिल प्रबंधन में प्रस्तुत सभी डेटा को एक मानक प्रारूप के आधार पर संरचित किया जाना चाहिए। जबकि कई अन्य हैं, SPDX, SWID, और CycloneDX तीन सबसे लोकप्रिय प्रारूप हैं। चूंकि कोई आधिकारिक एसबीओएम अनुशंसा या सामान्यीकृत उद्योग-व्यापी मानक नहीं है, इसलिए प्रत्येक संगठन को वह प्रारूप चुनने की अनुमति है जो उनके लिए सबसे अच्छा काम करता है। यहां सबसे महत्वपूर्ण कारक निरंतरता है, चाहे आप कोई भी एसबीओएम प्रारूप चुनें।
SaaS के लिए SBOM प्रदान करें
जब सॉफ़्टवेयर के लिए साइबर सुरक्षा उपायों को लागू करने की बात आती है, तो संगठन अक्सर उन ऐप्स या सॉफ़्टवेयर पर ध्यान केंद्रित करते हैं जिन्हें वे स्वयं क्लाउड या ऑन-प्रिमाइसेस में तैनात करते हैं जबकि SaaS ऐप्स जो वे उपयोग करते हैं उन्हें अनदेखा कर दिया जाता है।
हालाँकि, सेवा ऐप्स के रूप में इन सॉफ़्टवेयर के लिए SBOMs प्रदान करने की भी अनुशंसा की जाती है। SaaS मॉडल में ग्राहकों को अपनी ओर से सॉफ़्टवेयर अपडेट या नई रिलीज़ प्रबंधित करने की आवश्यकता नहीं है। हालाँकि, ऐसी स्थिति में जब किसी ग्राहक के SaaS एप्लिकेशन से किसी भेद्यता के परिणामस्वरूप समझौता किया जाता है, तो एप्लिकेशन के लिए SBOMs प्रदान करना एक प्रारंभिक चेतावनी के रूप में काम कर सकता है जो उनके स्वयं के साइबर सुरक्षा उपायों में भी योगदान दे सकता है।
प्रत्येक रिलीज़ के लिए नियमित अपडेट
सर्वाधिक प्रभावी होने के लिए, एसबीओएम को संस्करण-विशिष्ट होना चाहिए; जब भी डेवलपर्स अपने एप्लिकेशन के लिए कोई अपडेट जारी करते हैं तो उन्हें एसबीओएम को संशोधित करना चाहिए। डेवलपर्स के लिए एक बार एसबीओएम बनाने और इसे रिलीज के बीच मैन्युअल रूप से अपडेट करने की कठिनाई के कारण इसे बार-बार अपग्रेड करने के जाल में फंसना आसान है। कंपनियों को यह सुनिश्चित करना चाहिए कि जब भी उनके सॉफ़्टवेयर का कोई नया संस्करण उपलब्ध हो तो उनके सॉफ़्टवेयर सामग्री बिल प्रबंधन को तुरंत अपडेट किया जाए। यह एक और कारण है कि एसबीओएम पीढ़ी को स्वचालित करना महत्वपूर्ण है क्योंकि इससे हर बार जब आप कोई अपडेट जारी करते हैं तो आपके एसबीओएम का एक अद्यतन संस्करण तैयार करना आसान हो जाता है।
स्पष्ट संचार चैनल स्थापित करें
एसबीओएम प्रबंधन में किसी न किसी रूप में सॉफ्टवेयर उत्पाद से जुड़े कई हितधारक शामिल होते हैं। इसमें सॉफ़्टवेयर आपूर्तिकर्ता, विकास दल, ग्राहक और अन्य शामिल हैं। प्रभावी एसबीओएम प्रबंधन सुनिश्चित करने का एक तरीका इन हितधारकों के बीच स्पष्ट संचार चैनल स्थापित करना है। यह सुनिश्चित करता है कि हर किसी को किसी उत्पाद में सॉफ़्टवेयर घटकों के बारे में किसी भी नई जानकारी तक पहुंच प्राप्त हो और आवश्यकतानुसार कोई भी अपडेट लागू कर सके
मेटाडेटा शामिल करें
आपके एसबीओएम दस्तावेज़ में शामिल करने के लिए मेटाडेटा (अतिरिक्त जानकारी जैसे लाइसेंसिंग डेटा और पैचिंग स्थिति) की मात्रा आपके द्वारा उपयोग किए जा रहे प्रारूप पर निर्भर करती है। हालांकि कुछ प्रारूप डिफ़ॉल्ट रूप से दूसरों की तुलना में अधिक मेटाडेटा का समर्थन कर सकते हैं, डेवलपर्स को अपने एसबीओएम में जितना संभव हो उतना मेटाडेटा जोड़ने को प्राथमिकता देनी चाहिए। यह अतिरिक्त जानकारी उपयोगकर्ताओं के लिए एसबीओएम प्रबंधन को आसान बनाती है क्योंकि उन्हें हर बार ज़रूरत पड़ने पर जानकारी के इन टुकड़ों को मैन्युअल रूप से देखने की ज़रूरत नहीं होगी। जब भी सुरक्षा दोष की घोषणा की जाती है तो मेटाडेटा आपके उत्पादों में कमजोर घटकों की पहचान करना और उन्हें अपडेट करना आसान बनाता है।
एसबीओएम प्रबंधन चुनौतियाँ
एसबीओएम को व्यापक रूप से अपनाने के बावजूद, एसबीओएम प्रबंधन के कई पहलू उपयोगकर्ताओं के लिए चुनौतीपूर्ण बने हुए हैं। शायद सभी में सबसे बड़ी चुनौती पूरे उद्योग में एसबीओएम प्रारूपण में मानकीकरण की कमी है। हालांकि एसबीओएम निर्माण और साझाकरण के लिए समान मानक का पालन करना सभी के लिए सर्वोत्तम मूल्य की गारंटी देता है, लेकिन आम सहमति हासिल करने में कुछ समय लगेगा।
एक और चुनौती एसबीओएम को अद्यतन और प्रासंगिक बनाए रखने की आवश्यकता है। अधिकांश संगठनों द्वारा बनाया गया सॉफ़्टवेयर गतिशील है। इसका मतलब है कि अपडेट समय-समय पर जारी किए जाते हैं और नए घटक जोड़े जाते हैं। प्रासंगिक और उपयोग में सुरक्षित बने रहने के लिए, सॉफ़्टवेयर सामग्री बिल को सॉफ़्टवेयर की प्रत्येक नई रिलीज़ के साथ अद्यतन किया जाना चाहिए। प्रत्येक संगठन को एसबीओएम पीढ़ी और प्रबंधन उपकरणों के लिए योजना बनानी होती है ताकि वे अपने सॉफ़्टवेयर की प्रत्येक नई रिलीज़ के साथ नए एसबीओएम को अधिक सहजता से जारी कर सकें।
और फिर एसबीओएम के भीतर अशुद्धियों या चूक का जोखिम है, जिससे कमजोरियां और अनुपालन समस्याएं सामने आ सकती हैं। कुछ एसबीओएम पीढ़ी उपकरण डेवलपर्स द्वारा अपने स्रोत कोड में शामिल किए गए कच्चे कोड या बायनेरिज़ का दस्तावेजीकरण करने में विफल रहते हैं। इस तरह से उत्पन्न एसबीओएम पूर्णता की झूठी भावना पैदा करते हैं जो उन्हें असुरक्षित बनाता है। सुरक्षा और पारदर्शिता के लिए, आपका एसबीओएम अत्यधिक विस्तृत होना चाहिए, जितना संभव हो उतने घटकों को सूचीबद्ध करना चाहिए और इन घटकों के बीच संबंध दिखाने के लिए सर्वोत्तम रूप से पदानुक्रमित जानकारी प्रदान करनी चाहिए।
अंत में, एसबीओएम की सुरक्षा को प्रबंधित करने का जोखिम स्वयं है क्योंकि इसमें संभावित सुरक्षा कमजोरियों सहित विकास प्रक्रिया के दौरान उपयोग किए जाने वाले सॉफ़्टवेयर घटकों के बारे में संवेदनशील जानकारी शामिल है। इसलिए, संगठनों को एसबीओएम को अनधिकृत पहुंच या प्रकटीकरण से बचाने के लिए उपाय करने चाहिए।
सारांश
अंत में, सॉफ़्टवेयर उत्पाद बनाने या उपयोग करने वाले किसी भी संगठन के लिए सामग्री के सॉफ़्टवेयर बिल के उचित प्रबंधन के महत्व पर ज़ोर देना महत्वपूर्ण है। एसबीओएम बनाने के अलावा, प्रभावी एसबीओएम प्रबंधन प्रथाओं को लागू करने से कंपनी को अपने सॉफ्टवेयर उत्पादों को सुरक्षित और प्रासंगिक नियमों के अनुरूप रखने में मदद मिलती है।
एक प्रभावी एसबीओएम प्रबंधन ढांचे के कुछ प्रमुख घटकों में आपके सॉफ़्टवेयर घटकों की एक व्यापक सूची रखना, नियमित अपडेट शेड्यूल करना, आवश्यकतानुसार जोखिम मूल्यांकन करना और एसबीओएम पीढ़ी और प्रबंधन को स्वचालित करना शामिल है।
इन सर्वोत्तम प्रथाओं का पालन करके, एक संगठन सुरक्षा उल्लंघनों के जोखिम को कम करने और अन्य संभावित मुद्दों से बचने के लिए अपनी सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की अधिक गहरी समझ प्राप्त कर सकता है। अंततः, प्रभावी एसबीओएम प्रबंधन आपको सुरक्षित और अधिक विश्वसनीय सॉफ्टवेयर उत्पाद बनाने में मदद करेगा जो आपके ग्राहकों और सभी हितधारकों की जरूरतों को पूरा करते हैं।