अधिक से अधिक कंपनियां प्रत्येक उत्पाद और नई रिलीज के हिस्से के रूप में अद्यतन एसबीओएम के महत्व को स्वीकार करती हैं। एनएसए भी एक पत्र में प्रकाशित साइबर जागरूकता बढ़ाने और अपनी सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की बेहतर सुरक्षा के लिए कंपनियों को इस टूल को अपनाने के लिए प्रोत्साहित करना। भले ही आपने यह निष्कर्ष निकाला हो कि एसबीओएम उत्पन्न करना सही काम है, आप अनिश्चित हो सकते हैं कि इसे कैसे किया जाए, कौन से टूल का उपयोग किया जाए, या उन्हें कैसे लागू किया जाए। बाज़ार में कई SBOM जेनरेशन टूल मौजूद हैं, कुछ मालिकाना हैं, कुछ मुफ़्त हैं, और कुछ ओपन-सोर्स टूल हैं। इस लेख में, हम बताएंगे कि आपके एसबीओएम जेनरेशन टूल को आपकी आवश्यकताओं के लिए सही बनाने के लिए इसमें कौन सी प्रमुख विशेषताएं होनी चाहिए।
एसबीओएम प्रारूप
दो प्रमुख हैं एसबीओएम प्रारूप आज बाज़ार में उपयोग किया जाता है: SPDX और CycloneDX।
सॉफ़्टवेयर पैकेज डेटा एक्सचेंज (एसपीडीएक्स) लिनक्स फाउंडेशन द्वारा एक ओपन-सोर्स, मशीन-पठनीय एसबीओएम परियोजना है। एसपीडीएक्स का नवीनतम संस्करण एनटीआईए के मानक के अनुरूप डिजाइन किया गया थासामग्री के सॉफ़्टवेयर बिल के लिए न्यूनतम तत्व.' यह सॉफ़्टवेयर के घटकों, कॉपीराइट, लाइसेंस और सुरक्षा संदर्भों को सूचीबद्ध करता है।
साइक्लोनडीएक्स (सीडीएक्स) ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट (ओडब्ल्यूएएसपी) समुदाय द्वारा विकसित एक ओपन-सोर्स और मशीन-पठनीय एसबीओएम प्रारूप भी है। BOM प्रारूप के रूप में, CycloneDX में सामग्री के सॉफ़्टवेयर बिल तैयार करने के अलावा अन्य अनुप्रयोग भी हैं। इसका उपयोग हार्डवेयर और क्लाउड सिस्टम के घटकों, कमजोरियों और सेवाओं को संकलित करने के लिए भी किया जा सकता है।
इससे पहले कि आप विभिन्न उपकरणों की जांच शुरू करें, विचार करें कि कौन सा प्रारूप आपकी आवश्यकताओं को सर्वोत्तम रूप से पूरा करेगा। न केवल वर्तमान समय बल्कि अपनी भविष्य की जरूरतों पर भी विचार करना सबसे अच्छा है क्योंकि एक बार जब आप एक निश्चित प्रारूप के लिए प्रतिबद्ध हो जाते हैं तो संभवतः आपके लिए उस पर टिके रहना आसान हो जाएगा। उन उपयोगों पर विचार करें जो आपके एसबीओएम देखने जा रहे हैं और उन उपकरणों पर विचार करें जिनका उपयोग आप डेटा का विश्लेषण करने के लिए करेंगे। यदि आप अनिश्चित हैं कि कौन सा प्रारूप चुनना है तो ऐसे टूल की तलाश करें जो दोनों प्रारूप तैयार कर सके।
एसबीओएम टूल्स की मुख्य विशेषताएं
यहां कुछ विशेषताएं दी गई हैं जिन्हें आपको एक अच्छे एसबीओएम जेनरेशन टूल में देखना चाहिए:
एससीएम और अंतिम उत्पाद दोनों से एसबीओएम संग्रह - अपने उत्पाद का पूर्ण कवरेज प्राप्त करना एक अच्छे एसबीओएम की कुंजी है। यह सर्वविदित है कि विकास चरण में, आप हमेशा सभी निर्भरताओं को खींचकर उन्हें परियोजना में एकीकृत नहीं करते हैं - यह कुछ ऐसा है जो आमतौर पर केवल आपके सीआई/सीडी पाइपलाइन के अंत में अंतिम संकलन पर किया जाता है। अपने एससीएम और अपने अंतिम उत्पाद से एसबीओएम प्राप्त करने से आप दोनों की तुलना कर सकते हैं और यह भी सुनिश्चित कर सकते हैं कि बीच के चरणों में किसी भी फाइल या फ़ोल्डर में कोई अवांछित परिवर्तन नहीं किया गया है। एसबीओएम के बीच फ़ाइलों और फ़ोल्डरों की तुलना प्रत्येक के लिए गणना किए गए हैश मानों की तुलना करके की जा सकती है। ऐसा उपकरण होने से जो स्वचालित रूप से ऐसा कर सकता है, आपका बहुत सारा समय और चिंता बच जाएगी।
एसबीओएम विश्लेषण - SBOM बहुत सारे डेटा वाली एक फ़ाइल है। आप जो अंतर्दृष्टि प्राप्त करना चाहते हैं उसके लिए इसका विश्लेषण करने के लिए सॉफ़्टवेयर बनाना सबसे अच्छा है। निःसंदेह, इस तरह के सॉफ़्टवेयर को स्वयं बनाना धीमा और समय लेने वाला है, इसलिए ऐसा टूल प्राप्त करना बेहतर है जिसमें पहले से ही विश्लेषण करने वाला सॉफ़्टवेयर शामिल है ताकि आप कई हजार लाइन वाली एसबीओएम फ़ाइल के हेड या टेल बनाने की कोशिश करने के बजाय परिणामी रिपोर्ट की जांच कर सकें। . कुछ रिपोर्ट जिन पर आप विचार करना चाह सकते हैं, वे हैं सभी निर्भरताओं के लिए व्यापक भेद्यता रिपोर्ट, आपके सॉफ़्टवेयर में उपयोग किए गए किसी भी पुराने घटक पर एक रिपोर्ट, उपयोग किए गए सभी ओपन-सोर्स लाइसेंस पर एक रिपोर्ट, और ओपन के सापेक्ष स्वास्थ्य की एक रिपोर्ट- स्रोत घटकों का उपयोग किया गया। वह अंतिम व्यक्ति जैसे तत्वों का उपयोग कर सकता है ओपनएसएसएफ स्कोरकार्ड उपयोग किए गए प्रत्येक पैकेज को निष्पक्ष अंक देने के लिए।
एसबीओएम स्वचालन और सुरक्षित भंडारण - एसएलएसए सुरक्षा ढांचे के सिद्धांतों का एक हिस्सा प्रत्येक सुरक्षा सुविधा को यथासंभव स्वचालित और हेरफेर करना कठिन बनाना है। विचार यह है कि लोगों को सुरक्षा सुविधा परिणामों में हेरफेर करने की अनुमति देने से आवश्यकता पड़ने पर उस सुविधा को रद्द करने या हेरफेर करने का मौका मिल जाएगा। उस अवधारणा के हिस्से के रूप में, आप एक एसबीओएम टूल की तलाश कर सकते हैं जो किसी भी मानव कारक हस्तक्षेप की आवश्यकता के बिना प्रत्येक सीआई/सीडी पाइपलाइन या संकलन रन पर स्वतंत्र रूप से चलने के लिए पूरी तरह से स्वचालित हो सकता है। इसके अतिरिक्त, एक एसबीओएम उपकरण की तलाश करें जो साक्ष्य को एक सुरक्षित स्थान पर संग्रहीत करता है ताकि केवल उचित रूप से मान्य कर्मचारी ही उस तक पहुंच सकें। इससे यह सुनिश्चित होगा कि एसबीओएम सबूतों में हेरफेर नहीं किया जा सकता है या उन्हें हटाया नहीं जा सकता है, चाहे परिस्थितियाँ कुछ भी हों।
सतत एसबीओएम विश्लेषण - आपके एसबीओएम को किसी तीसरे पक्ष द्वारा संग्रहीत करने का एक अन्य संभावित लाभ यह है कि तीसरे पक्ष को नई कमजोरियों के लिए उन्हें लगातार स्कैन करने की अनुमति मिलती है। नई कमजोरियाँ लगातार खोजी और रिपोर्ट की जाती हैं और यहां तक कि एक पैकेज जो आज साफ-सुथरा माना जाता है वह कल वैसा नहीं रह सकता है। एक एसबीओएम सुविधा होने से जो लगातार आपके सभी एसबीओएम को स्कैन करती है और नई कमजोरियों की तलाश करती है, आपको किसी भी खोज के बारे में सूचित करती है, यह सुनिश्चित करेगी कि भले ही आप हर दिन, सप्ताह या महीने में एक नया एसबीओएम नहीं बनाते हैं, फिर भी आप इससे अनजान नहीं होंगे। आपके द्वारा अपने उत्पाद में पहले से साफ़ पैकेज में शामिल की गई एक नई भेद्यता।
एसबीओएम स्मार्ट शेयरिंग - एक अच्छा एसबीओएम होने का एक प्रमुख कारण, संभावित सॉफ़्टवेयर आपूर्ति श्रृंखला मुद्दों पर जाँच के लिए एक स्रोत होने के अलावा, इसे दूसरों के साथ साझा करना है। आप जानकारी को अन्य आंतरिक टीमों, ग्राहकों, तृतीय-पक्ष ठेकेदारों या लेखा परीक्षकों के साथ साझा करना चाह सकते हैं। बेशक, आप हमेशा किसी इच्छुक पार्टी को एक एसबीओएम फ़ाइल ईमेल कर सकते हैं, लेकिन लगातार सॉफ़्टवेयर अपडेट और इसलिए लगातार नए एसबीओएम को देखते हुए यह बहुत जल्दी बहुत कठिन हो सकता है। ऐसे टूल का होना कहीं बेहतर है जिसमें अंतर्निहित साझाकरण क्षमता हो ताकि आप ग्राहकों की एक सूची परिभाषित कर सकें और नए एसबीओएम को उनके साथ या बिना रिपोर्ट के परियोजना, उसके ग्राहकों, उनकी रुचि के स्तर आदि के आधार पर स्वचालित रूप से साझा किया जाएगा। .
एसबीओएम सलाह - जैसा कि हमने पहले ही बताया है कि एक एसबीओएम में हजारों निर्भरताएँ शामिल हो सकती हैं। स्वास्थ्य के स्वच्छ बिल - शून्य कमजोरियाँ - की उम्मीद करना यथार्थवादी नहीं है। आपमें हमेशा कमज़ोरियाँ रहेंगी। बड़ा सवाल यह है कि क्या आपके उत्पाद के सटीक कॉन्फ़िगरेशन में उन कमजोरियों का फायदा उठाया जा सकता है? केवल डेवलपर्स ही उस प्रश्न का उत्तर दे सकते हैं लेकिन आपको यह सुनिश्चित करना चाहिए कि आपके एसबीओएम टूल में आपको इन निष्कर्षों को साझा करने में सक्षम बनाने की सुविधा है। आप नहीं चाहेंगे कि आपको एक ही भेद्यता प्रश्न का 1000 बार उत्तर देना पड़े। आपके एसबीओएम में पाई गई प्रत्येक भेद्यता की सटीक स्थिति को ध्यान में रखते हुए सलाह जोड़ने की क्षमता होने से आप अपने ग्राहकों और भागीदारों दोनों को दिखा सकेंगे कि आप गेंद पर हैं और एक बार आपके डेवलपर्स द्वारा सत्यापित किए जाने पर परिणाम साझा कर सकेंगे कि एक विशेष भेद्यता है नहीं आपके उत्पाद में शोषण योग्य।
अपने एसबीओएम जनरेशन टूल के साथ कहां से शुरुआत करें
ऐसी कई अन्य विशेषताएं हैं जिन्हें आप एसबीओएम जेनरेशन टूल में खोज सकते हैं और पा सकते हैं लेकिन मुझे लगता है कि सुविधाओं की हमारी सूची यह स्पष्ट करती है कि एक अच्छा एसबीओएम टूल एक अकेले तत्व से कहीं अधिक है। एसबीओएम पीढ़ी, विश्लेषण (स्पॉट और निरंतर दोनों), रिपोर्ट और साझाकरण को शामिल करते हुए एक पूर्ण प्रणाली ढूंढना सबसे अच्छा है।
अमेरिका में नियामक तत्वों के बढ़ते ध्यान को देखते हुए ऐसा लगता है कि प्रत्येक नए सॉफ़्टवेयर रिलीज़ के लिए एसबीओएम को एक मानक बनाने में ज़्यादा समय नहीं लगेगा। जब ऐसा होता है तो आप चाहते हैं कि पहले से ही सबसे अच्छा टूल चयनित हो और उसे आपके एसडीएलसी में शामिल किया जाए। मैं यह भी बताना चाहूंगा कि एसबीओएम आपके आईपी का उल्लंघन नहीं कर सकता है - यह किसी भी कोड को 'देखता' नहीं है और केवल फ़ाइल नाम, संस्करण और इसी तरह स्कैन करता है। इसका मतलब है कि एसबीओएम को साझा करना या किसी विश्वसनीय तीसरे पक्ष द्वारा उन्हें सुरक्षित स्थान पर संग्रहीत करना किसी भी तरह से आपकी सुरक्षा या आईपी को खतरे में नहीं डाल रहा है।
स्क्राइब सिक्योरिटी प्लेटफ़ॉर्म जैसी सेवाएँ आपको इस लेख में शामिल सभी सुविधाएँ प्रदान कर सकती हैं, जिसमें हर समय अधिक सुविधाएँ जोड़ी जाती हैं। बेझिझक हमारे प्लेटफ़ॉर्म की जांच करें और देखें कि हमारे एसबीओएम जेनरेशन टूल में कौन सी अन्य विशेषताएं शामिल हैं जो आपको और आपके संगठन को लाभ पहुंचा सकती हैं।