2023년 XNUMX월 DHS, CISA, DOE, CESER는 '소프트웨어 부품 명세서(SBOM) 공유 수명주기 보고서'. 보고서의 목적은 사람들이 SBOM을 공유하는 현재 방식을 조사하고 소프트웨어에 대한 투명성을 높이기 위해 이러한 공유를 더욱 정교하게 수행할 수 있는 방법을 개괄적으로 설명하는 것이었습니다.
보고서는 SBOM 공유 수명 주기를 검색, 액세스, 전송의 3단계로 구분합니다. 발견 사용자나 소비자가 작성자나 공급자의 새로운 SBOM 존재를 알 수 있는 방법입니다. 접속하다 사용자 또는 소비자가 이 SBOM 및 그에 수반되는 모든 관련 데이터에 액세스할 수 있는 방법입니다(SBOM 강화). 교통편 소비자가 SBOM을 받을 수 있는 방법입니다. 모든 경우에 프로세스가 자동화될수록 관련된 모든 당사자에게 더 좋습니다.
보고서에는 도구가 구체적으로 언급되어 있지 않지만 원하는 도구에 포함되는 다양한 예와 속성 목록이 포함되어 있습니다.
우리는 여기 Scribe에서 SBOM 핵심 사용의 일부인 정보는 게시된 요구 사항 목록과 비교했을 때 매우 높은 점수를 받았습니다.
이 기사에서는 보고서에 명시된 SBOM 공유 수명주기의 3가지 부분을 살펴보고 CISA가 제시한 가장 정교한 솔루션을 살펴보겠습니다.. 방법을 설명하면서 마무리하겠습니다. Scribe의 플랫폼 이러한 요구 사항에 답합니다.
SBOM 공유 라이프사이클 정교화
발견 수명주기의 초기 단계이며 소비자가 작성자나 공급자로부터 SBOM의 존재를 인식하게 되는 방법과 관련됩니다. 이는 공급업체 웹사이트 내의 표준화된 위치나 소프트웨어 저장소 내의 위치에 새 SBOM을 배치하는 것만큼 간단할 수 있습니다. 소비자가 나중에 이 SBOM 데이터에 액세스하고 다운로드하여 사용할 수 있도록 이 SBOM 데이터에 대한 액세스 권한을 얻거나 최소한 요청하는 방법을 소비자에게 충분히 명확하게 설명해야 합니다. 때때로 소비자는 공급자와 계속 연락하여 SBOM에 대한 업데이트를 요청해야 합니다. 또는 자동화된 지속적인 업데이트를 사용할 수도 있습니다.
보고서에 명시된 바와 같이 고도로 정교한 접근 방식은 소비자의 삶을 더 쉽게 만들기 위해 공급자에게 발견 책임을 더 많이 부여합니다. 이상적으로는 자동화에 이상적이며 수동으로 수행해야 할 작업이 거의 없는 잘 알려져 있고 잘 문서화된 프로세스가 있을 수 있습니다. 예를 들어, 제공자는 다음을 개발할 수 있습니다. 게시/구독 새로운 SBOM에 대한 정보는 물론 기존 SBOM의 업데이트된 버전과 이를 찾는 메커니즘을 사용자에게 자동으로 업데이트하는 서비스입니다. 또한 더 정교한 수준에서는 관련 없는 정보를 숨기면서 고객을 요청한 정보로 안내하는 데 더 정확해야 합니다.
접속하다 다음 단계이며 데이터에 액세스하는 방법을 자세히 설명합니다. 이 단계에서는 SBOM에 대한 액세스 제한과 사용자가 전송 단계로 이동할 수 있는 권한을 얻는 방법에 중점을 둡니다. 가장 쉬운 방법은 SBOM을 대중이 완전히 액세스할 수 있도록 만드는 것이며 액세스 제어를 마련할 필요조차 없을 수도 있습니다. 그러나 현실적으로 공급자는 특정 수신자에게 권한을 부여하기 전에 SBOM에 대한 액세스를 수동으로 승인하거나 역할을 정의해야 하는 저장소에 SBOM을 보관하도록 요구할 수 있습니다. 또한 고객이 제품에 연결된 특정 SBOM 버전만 보거나 데이터의 특정 부분에 액세스할 수 있도록 보장하기 위해 SBOM에는 특정 액세스 제어 세분성이 필요할 수 있습니다.
매우 정교한 접근 방식에서는 소비자가 SBOM을 보기 위해 액세스를 요청할 수 있으며 제한된 계정이 자동으로 생성될 수 있습니다. 소비자가 소프트웨어 키 등 문제의 SBOM과 관련된 장치나 소프트웨어를 구입했다는 증거를 제시할 수 있는 경우 SBOM에 대한 액세스가 자동으로 허용될 수 있습니다. 역할 또는 조직 수준 액세스 제어를 사용하면 높은 수준의 권한 세분화가 가능합니다. 이 기능은 원하는 각 활동의 권한을 분석하고 파악하는 것은 물론 고객 구매를 자동으로 확인하는 데 필요한 데이터를 추적해야 하기 때문에 높은 수준의 정교함이 필요합니다. 인증서 서명을 사용하는 공개 키 인프라 위임과 같은 시스템을 사용하면 공급자는 더 높은 수준의 정교함을 위해 인증 및 액세스 제어 요청을 다른 조직에 위임할 수 있습니다.
교통편 마지막 단계이며 소비자가 SBOM을 받는 방법을 자세히 설명합니다. SBOM은 한 위치에서 다른 위치로 또는 한 위치에서 여러 위치로 다양한 방법을 사용하여 운송될 수 있습니다. 이 프로세스는 다른 방법보다 일부 방법을 통해 더 효과적으로 촉진됩니다. SBOM 전송에 단일 SBOM의 이동만 포함되는 경우 하드 드라이브에 저장되고 작성자가 소비자에게 보내는 복사본이면 충분할 수 있습니다. 대규모 소비자 기반이 필요로 하는 경우 고객이 SBOM을 안전하게 검색할 수 있는 방법을 제공해야 합니다. 소비자가 데이터를 활용하기 위해서는 이 단계가 필요하다. 가장 실용적인 SBOM 사용에는 기계가 읽을 수 있는 형식이 필요하므로 전송 시 이를 고려해야 한다는 점을 명심하십시오.
확립된 프로토콜을 사용하여 전송 단계 프로세스를 철저하게 문서화하여 최대한 많은 전송 자동화를 활성화해야 합니다. API(애플리케이션 프로그래밍 인터페이스)는 액세스 가능하고 반복 가능하며 일관성이 있어야 합니다. REST(Representational State Transfer) 또는 RESTful API에 대한 문서를 제공하는 경우 OpenAPI 인터페이스를 매우 정교하다고 분류하는 것으로 충분합니다. 13 SOAP(Simple Object Access Protocol) 또는 GraphQL(그래프 쿼리 언어)과 같은 다른 API 표준도 충분한 것으로 간주될 수 있습니다. REST는 표준화된 인터페이스의 인기 있는 예 중 하나일 뿐입니다. 실제로 비슷한 수준의 통합 용이성을 제공하는 모든 인터페이스는 높은 정교함으로 분류되기에 충분합니다.
Scribe 플랫폼은 요구 사항에 어떻게 응답합니까?
Scribe는 자동화를 가능하게 하는 플랫폼을 개발했습니다. 게시/구독 서비스. 소프트웨어 제작자는 CI 파이프라인을 플랫폼에 연결하여 빌드를 실행할 때마다 해당 SBOM이 생성되도록 할 수 있습니다. 그런 다음 이러한 SBOM은 추가 정보로 강화되며 특정 프로젝트, 빌드 파이프라인, 날짜 및 시간을 기반으로 액세스할 수 있습니다. 제작자는 각 프로젝트에 구독자를 추가하여 일단 결정하면 게시 새로운 소프트웨어 버전. 모든 가입자는 알림을 받고 즉시 새로운 SBOM뿐만 아니라 이에 수반되는 기타 모든 보안 정보에 대한 전체 액세스 권한을 갖습니다. 가입자는 여가 시간에 액세스할 수 있는 SBOM에 액세스할 수 있으며 원할 때마다 다운로드할 수 있습니다.
빌드 파이프라인 링크가 완료되고 구독자가 데이터에 관심이 있다고 승인하면 전체 정보 스트림이 자동화되어 수동 개입이 거의 또는 전혀 필요하지 않습니다. 보안 데이터는 Scribe에 의해 암호화 및 보호되며 생산자와 승인된 가입자만 액세스할 수 있습니다. 검색은 자동으로 이루어지며 액세스는 생산자가 결정하며 전송은 가입자가 임의로 결정합니다.
SBOM 공유의 미래
요즘 SBOM 공유는 자동화된 시스템보다 이메일을 통해 수행될 가능성이 높지만 이 접근 방식은 확장 가능하지 않습니다. 더 많은 공유를 가능하게 하려면 Scribe와 같은 더 많은 도구와 플랫폼이 사용 가능하고, 사용하기 쉽고, 접근 가능해야 합니다. 다양한 이해관계자의 요구에 맞게 설계된 다양한 공유 솔루션은 SBOM 공유 생태계에 유리할 것입니다. 이러한 조건은 특정 공급자가 클라이언트로부터 다양한 전송 방법을 사용하도록 요청받을 수 있고, 클라이언트가 업스트림 파트너로부터 다양한 방법을 사용하여 SBOM 데이터를 제공받을 수 있기 때문에 존재합니다. 현실적으로 수동 프로세스를 없애고 상호 운용성을 방해하는 작업을 피하면서 식별된 특수 상황을 처리할 수 있는 더 많은 솔루션이 필요합니다. 업계의 목표는 더 큰 공급망에서 서로 호환되지 않는 수많은 SBOM 공유 솔루션의 출현을 방지하는 것입니다. 이는 기존 문제를 더욱 악화시킬 뿐입니다.
이후 스크라이브 플랫폼은 무료입니다 한 달에 최대 100개의 빌드에 사용하려면 한번 사용해 보고 플랫폼이 얼마나 많은 보안 및 규제 요구 사항을 충족하는지 확인해 보시기 바랍니다. 우리의 비전을 충족하는 진정한 범용 플랫폼을 향해 갈 길이 아직 멀지만 이는 우리가 전 세계와 공유하고 싶은 좋은 출발점입니다.
이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.
관련 게시물
