L'ascesa della SBOM: la nostra opinione sul report Innovation Insight di Gartner per le SBOM

Tutti i messaggi

Con il crescente utilizzo di componenti di terze parti e le lunghe catene di fornitura di software, gli aggressori possono ora compromettere più pacchetti software contemporaneamente tramite un unico exploit. In risposta a questo nuovo vettore di attacco, sempre più team di sviluppo e DevOps, nonché professionisti della sicurezza, stanno cercando di incorporare una distinta base del software (SBOM).

La catena di fornitura del software include tutto ciò che viene utilizzato per realizzare l'applicazione, dal codice univoco che gli ingegneri scrivono agli strumenti di sviluppo che utilizzano e a tutti i componenti di terze parti (proprietari e open source) nella base di codice. Mentre gli sviluppatori si assumono la responsabilità del proprio codice, una SBOM tiene traccia delle informazioni necessarie per garantire la sicurezza di ogni componente di terze parti. Ciò comprende:

  • Da dove proviene
  • La versione specifica in uso
  • Eventuali vulnerabilità note e stato della patch
  • Dove e quando viene utilizzato nell'applicazione
  • Informazioni sulla licenza

E qualsiasi altra informazione rilevante sulla sicurezza.

Comprendendo ogni riga di codice inserita nel prodotto finale, le organizzazioni possono dimostrare pratiche di sviluppo sicure e fornire garanzie ai propri clienti.

Con le SBOM che trovano un utilizzo significativamente più ampio, società di ricerca e consulenza IT Gartner ha recentemente pubblicato “Innovation Insight for SBOMs”, un rapporto che descrive il concetto, i suoi vantaggi, i vari standard in uso e le raccomandazioni per le organizzazioni che implementano le SBOM.

Poiché molte persone non avranno accesso al report completo di Gartner, presentiamo alcuni dei risultati principali, nonché la nostra opinione su ciò che le organizzazioni devono considerare per utilizzare con successo la SBOM. Ma prima, discutiamo dello stato attuale di attacchi alla catena di fornitura del software.

I crescenti rischi per le catene di fornitura del software

Sebbene i pacchetti software cerchino di differenziarsi dalla concorrenza e si concentrino su ciò che li rende diversi, ci sarà sempre qualche sovrapposizione in termini di funzionalità di base. Ad esempio, ogni organizzazione dovrà crittografare i dati degli utenti e la maggior parte dovrà prendere in considerazione la sincronizzazione su più dispositivi. 

Anche se gli sviluppatori potrebbero dedicare tempo e sforzi significativi alla scrittura del codice per eseguire queste funzioni generali, è molto più semplice incorporare componenti già in uso. Che sia acquistato o open source, il codice di terze parti semplifica il processo di sviluppo e riduce significativamente il time-to-market. 

Tuttavia, introduce anche delle vulnerabilità. Oggi il software è sicuro quanto l’anello più debole della catena di fornitura. Gli aggressori sfruttano questo fatto, prendendo di mira a un ritmo crescente componenti di uso comune o obsoleti nella catena di fornitura del software. 

Un rapporto recente ha rilevato solo 216 attacchi alla catena di fornitura di software tra febbraio 2015 e giugno 2019. Questo numero ha fatto un balzo significativo fino a 929 attacchi tra luglio 2019 e maggio 2020, seguito da un’esplosione con oltre 12,000 attacchi alla catena di fornitura di software nel 2021, su base annua aumento del 650%.

A 2021 Sondaggio Forrester Un campione di 530 decisori nel campo della sicurezza informatica ha rilevato che il 33% degli attacchi esterni proviene ora da servizi di terze parti o da vulnerabilità software.

Considerata la recente accelerazione degli attacchi, non sorprende che il governo degli Stati Uniti abbia fatto questo sicurezza della catena di fornitura del software una nuova priorità. Ciò include il rilascio di Quadro di sviluppo software sicuro (SSDF) e un settembre 2022 Nota dell'OMB definizione delle priorità di investimento informatico per l’anno fiscale 2024, che prestano entrambi ampia attenzione alla mitigazione del rischio della catena di approvvigionamento.

Con attacchi alle stelle, esempi famosi nelle notizie (ad esempio, SolarWinds, Log4J, ecc.) e il governo degli Stati Uniti che lancia l'allarme, le organizzazioni devono aumentare la visibilità della propria catena di fornitura software e mantenere una distinta base software completa per ciascuno di essi. i loro prodotti.

SBOM in soccorso! Aumentare visibilità, fiducia e sicurezza nelle catene di fornitura del software

La necessità è la madre dell’invenzione, e una minaccia così significativa come gli attacchi alla catena di fornitura necessita certamente di una soluzione. Per fortuna, l’invenzione delle SBOM significa che ora disponiamo degli strumenti per reagire, garantendo che solo componenti sicuri e affidabili entrino nel codice base.

La SBOM si basa sulle distinte base fisiche (BOM) comunemente presenti nella produzione o nell'edilizia. Ad esempio, i produttori di automobili utilizzano una distinta base per inventariare tutti i componenti utilizzati in ciascun veicolo, indipendentemente dal fatto che sia stato costruito dall'OEM o da terzi. Se si verifica un problema con una parte particolare, le distinte base consentono ai produttori di identificare ogni veicolo interessato e informare il proprietario.

Le SBOM sono l'equivalente dell'industria del software. Fungere da inventario per ogni componente software presente in ciascun prodotto. Se si scopre che un componente presenta una vulnerabilità, le organizzazioni possono identificare rapidamente gli utenti interessati e pianificare piani per informare e mitigare il rischio.

Con stack software complessi che incorporano un vasto numero di componenti open source e di terze parti, può essere difficile tenere traccia di ogni rischio a cui è esposto un prodotto. Le SBOM consentono ai team di sviluppo, DevOps e di sicurezza, e persino ai clienti, di comprendere questo rischio, cercando rapidamente di vedere se una vulnerabilità appena identificata li riguarda.

Le SBOM aiutano anche a: 

  • Previeni l'avvelenamento da licenze: quando i componenti open source aprono la tua proprietà intellettuale, esponendo il tuo prodotto affinché tutti possano vederlo.
  • Identificazione dei rischi nel codice legacy: scomposizione delle basi di codice esistenti per identificare ogni libreria di terze parti, repository open source, strumenti di sviluppo e altro ancora per determinare potenziali componenti obsoleti o qualsiasi altro rischio presente.

Con molti vantaggi offerti, le SBOM stanno registrando una diffusione significativa. Tuttavia, un recente rapporto ha rilevato che mentre il 76% delle organizzazioni ha un certo grado di “preparazione” alla SBOM, solo il 47% utilizzava attivamente le SBOM nel 2021. Si prevede che questa cifra salirà a oltre i tre quarti delle organizzazioni nel 2022 (78%) e quasi il 90% l'anno seguente.

Report Innovation Insight di Gartner per SBOM: riepilogo di alto livello

L'Innovation Insight Report 2022 di Gartner sulle SBOM offre informazioni critiche sull'importanza e sull'implementazione della distinta base del software:

“Le distinte base del software migliorano la visibilità, la trasparenza, la sicurezza e l’integrità del codice proprietario e open source nelle catene di fornitura del software. Per realizzare questi vantaggi, i leader dell’ingegneria del software dovrebbero integrare le SBOM durante tutto il ciclo di vita della distribuzione del software”.

Le organizzazioni spesso faticano a mantenere la visibilità delle dipendenze proprietarie e open source, generandone significative rischi per la sicurezza della catena di fornitura del software e potenziali problemi di conformità. Questo perché mancano di strumenti adeguati o non riescono a implementare pratiche e standard di sviluppo sicuri. 

Con una SBOM, gli sviluppatori possono scoprire e compilare dettagli di sicurezza su ogni pezzo di codice di terze parti nel loro pacchetto software. L’aumento degli attacchi alla catena di fornitura del software dimostra il fallimento nel trattare il codice open source o commerciale come una “scatola nera” sicura e ermetica. 

Senza sapere cosa c'è dentro la “scatola”, non potrai mai comprendere veramente i rischi a cui è esposto il tuo software. Pertanto, la soluzione migliore è monitorare meticolosamente ogni “scatola” utilizzata per verificare le vulnerabilità note.

Gartner consiglia a ogni organizzazione:

  • Genera una SBOM per ogni pacchetto software prodotto
  • Verificare le SBOM per tutto il software utilizzato (open source o commerciale)
  • Rivalutare continuamente i dati SBOM per comprendere i nuovi rischi per la sicurezza (sia prima che dopo la distribuzione)

Dato il panorama sempre più minaccioso della catena di fornitura del software, Gartner prevede che il 60% delle organizzazioni che costruiscono o acquistano software per infrastrutture critiche imporranno SBOM. Questo è il triplo del numero attuale (20%) nel 2022.

“Le SBOM sono uno strumento essenziale nel tuo toolbox di sicurezza e conformità. Aiutano a verificare continuamente l’integrità del software e ad avvisare le parti interessate delle vulnerabilità della sicurezza e delle violazioni delle policy”.

Come ti influenza tutto questo?

Allora, cosa significa tutto questo per te e la tua organizzazione? Gartner consiglia alle organizzazioni:

  • Utilizzare le SBOM per tenere traccia delle dipendenze nell'intera catena di fornitura del software, tenendo conto di ogni componente nel ciclo di vita dello sviluppo del software
  • Automatizza la generazione di SBOM utilizzando strumenti per scansionare e verificare sistematicamente i tuoi prodotti
  • Rispondi rapidamente a tutti i componenti interessati presenti nella catena di fornitura del software
  • Aggiornare le SBOM con ogni nuovo artefatto software, ovvero creando SBOM durante il processo di creazione anziché solo all'inizio di un progetto
  • Riutilizzare solo moduli con SBOM verificate e sicure
  • Implementare un processo SBOM basato su standard basato su formati ampiamente supportati, come Software Package Data Exchange (SPDX), Software Identification (SWID) o CycloneDX
  • Assicurati che anche tutti i fornitori di software commerciale con cui collabori utilizzino le SBOM con un approccio basato su standard
  • Condividi le SBOM e i dati sulla provenienza con le parti interessate, rendendoli consapevoli dei componenti interessati e dei dati relativi ai rischi

Le SBOM sono strumenti fondamentali per la moderna sicurezza del software. Ma per migliorare la situazione in tutto il settore, è necessario renderli accessibili all’interno e all’esterno dell’organizzazione. La condivisione dei dati sulle vulnerabilità sotto forma di SBOM aumenta anche la sicurezza e la fiducia delle parti interessate, facendo loro sapere che non sono presenti vulnerabilità note nel software che utilizzano.

Scribe Security offre una piattaforma di gestione SBOM ospitata con funzionalità di condivisione. Aiutare le organizzazioni a garantire l'integrità dei contenitori e a fornire informazioni utili sul software che producono. Inizia gratuitamente iscrivendoti per l'accesso anticipato a Piattaforma Scriba.

L'opinione di Scribe Security sul rapporto di Gartner: trasparenza e prove sono fondamentali

At Scriba Sicurezza, riteniamo che le SBOM siano fondamentali per proteggere i moderni pacchetti software basati su catene di fornitura in espansione. Le SBOM documentano in modo completo il processo di sviluppo per garantire visibilità end-to-end dell'intera catena di fornitura. La nostra piattaforma combina la visibilità di una SBOM con la trasparenza, grazie alla condivisione di funzionalità tra team e organizzazioni.

Scribe fornisce un hub in cui sia i produttori che i consumatori di software possono riunirsi per condividere attestazioni sull'affidabilità di vari pacchetti o componenti software. Utilizziamo tecniche crittografiche per raccogliere firme digitali che tengono traccia delle modifiche durante lo sviluppo. Queste firme garantiscono una base probante che garantisce la validità e la sicurezza della catena di fornitura di un software.

Anche le operazioni più piccole che al momento potrebbero non prendere in considerazione la generazione di SBOM possono trarre vantaggio dalla comprensione del processo. Scribe offre scansioni continue, anche se disponi di una versione stabile in produzione, così puoi verificare la presenza di nuove vulnerabilità e identificare le tendenze durante tutto il ciclo di vita di sviluppo del software.

Sommario

Con l'incredibile crescita degli attacchi alla catena di fornitura del software, le organizzazioni devono prendere in considerazione nuovi metodi per garantire la sicurezza dei prodotti software che creano e dei prodotti software che utilizzano. 

Il primo passo è generare una distinta base del software che dettaglia tutti i componenti presenti nelle basi di codici dei pacchetti software. Comprendere cosa è in esecuzione consente alle organizzazioni di stare al passo con le vulnerabilità e condividere l'integrità delle build delle applicazioni.

Il recente rapporto di Gartner sulle SBOM riassume bene la situazione:

“Le SBOM aiutano le organizzazioni a determinare se sono suscettibili alle vulnerabilità della sicurezza precedentemente identificate nei componenti software. Questi componenti potrebbero essere librerie software sviluppate internamente, acquistate commercialmente o open source. Le SBOM generano e verificano informazioni sulla provenienza del codice e sulle relazioni tra i componenti, il che aiuta i team di ingegneria del software a rilevare attacchi dannosi durante lo sviluppo (ad esempio, l'iniezione di codice) e la distribuzione (ad esempio, la manomissione binaria)."

Banner

Questo contenuto è offerto da Scribe Security, un fornitore leader di soluzioni di sicurezza end-to-end per la catena di fornitura di software, che offre sicurezza all'avanguardia per artefatti di codice e processi di sviluppo e distribuzione del codice attraverso le catene di fornitura di software. Per saperne di più.