В апреле 2023 года DHS, CISA, DOE и CESER опубликовали отчет под названием «Отчет о жизненном цикле общего доступа к спецификации программного обеспечения (SBOM)'. Цель отчета состояла в том, чтобы изучить текущие способы, которыми люди делятся SBOM, а также в общих чертах обрисовать, как этот обмен можно было бы сделать лучше, с большей сложностью, чтобы обеспечить большую прозрачность программного обеспечения.
В отчете жизненный цикл совместного использования SBOM разделен на 3 этапа: обнаружение, доступ и транспортировка. Дискавери это то, как пользователь или потребитель может узнать о существовании нового SBOM от автора или поставщика. О компании это то, как пользователь или потребитель может получить доступ к этому SBOM и всем соответствующим данным, которые его сопровождают (обогащение SBOM). Транспорт вот как потребитель может получить SBOM. В любом случае, чем более автоматизирован процесс, тем лучше он будет для всех участвующих сторон.
Хотя в отчете конкретно не упоминаются какие-либо инструменты, он включает в себя различные примеры и списки атрибутов, которые могли бы включать в себя такие желаемые инструменты.
Мы были очень рады узнать здесь, в Scribe, что наша платформа, позволяющая делиться СБОМ Информация как часть ее основного использования получает очень высокие оценки при проверке на соответствие опубликованному списку требований.
В этой статье мы рассмотрим 3 части жизненного цикла совместного использования SBOM, как указано в отчете, и рассмотрим наиболее сложное решение с точки зрения CISA.. В заключение мы опишем, как Платформа Писца отвечает этим требованиям.
SBOM Совместное использование сложности жизненного цикла
Дискавери является начальной фазой жизненного цикла и включает в себя то, как потребитель узнает о существовании SBOM от автора или поставщика. Это может быть так же просто, как размещение нового SBOM в стандартизированном месте на веб-сайте поставщика или в репозитории программного обеспечения. Потребителю должно быть достаточно ясно, как получить или, по крайней мере, запросить доступ к этим данным SBOM, чтобы они могли позже получить к ним доступ и загрузить их для своего использования. Иногда потребителю необходимо поддерживать связь с поставщиком и запрашивать обновления его SBOM. В качестве альтернативы могут быть доступны автоматические непрерывные обновления.
Как говорится в отчете, более сложный подход возлагает большую часть бремени открытий на поставщика, чтобы облегчить жизнь потребителя. В идеале это может быть хорошо известный и хорошо документированный процесс, который идеально подходит для автоматизации и практически не требует выполнения вручную. В качестве иллюстрации поставщик может разработать опубликовать / подписаться сервис, который будет автоматически информировать пользователей о новых SBOM, а также об обновленных версиях существующих SBOM и механизме их поиска. Кроме того, более сложные уровни должны более точно направлять клиентов к запрашиваемой информации, скрывая при этом ненужную информацию.
О компании это следующий шаг, и в нем подробно описано, как получить доступ к данным. Акцент на этом этапе делается на ограничениях доступа, налагаемых на SBOM, и на том, как пользователь получит разрешение перейти на этап транспорта. Самый простой способ — сделать SBOM полностью доступным для общественности, при этом, возможно, даже не будет необходимости устанавливать контроль доступа. Но в действительности провайдер может потребовать, чтобы SBOM хранились в репозитории, где доступ к ним необходимо утверждать вручную или определять роли, прежде чем предоставлять его конкретному получателю. Кроме того, SBOM может потребоваться особая степень детализации контроля доступа, чтобы гарантировать, что клиенты смогут просматривать только определенные версии SBOM, связанные с продуктом, или получать доступ к определенным частям данных.
При более сложном подходе потребитель может запросить доступ для просмотра SBOM, и автоматически может быть создана ограниченная учетная запись. Если потребитель может предоставить доказательства того, что он приобрел устройство или часть программного обеспечения, имеющую отношение к рассматриваемому SBOM, например программный ключ, доступ к SBOM может быть предоставлен автоматически. Роли или элементы управления доступом на уровне организации обеспечивают высокий уровень детализации разрешений. Эта функция требует высокого уровня сложности из-за необходимости анализа и понимания разрешений каждого желаемого действия, а также отслеживания данных, необходимых для автоматической проверки покупок клиентов. Используя такую систему, как делегирование инфраструктуры открытых ключей с использованием подписи сертификата, поставщик может делегировать запросы аутентификации и контроля доступа другой организации для еще более высокого уровня сложности.
Транспорт Это последний шаг, в котором подробно описан метод, с помощью которого потребитель получает SBOM. SBOM можно транспортировать различными способами из одного места в другое или из одного места в несколько мест. Некоторые методы облегчают этот процесс более эффективно, чем другие. Копии, хранящейся на жестком диске и отправляемой автором потребителю, может быть достаточно, если транспортировка SBOM предполагает перемещение только одного SBOM. Метод, позволяющий клиентам безопасно получить SBOM, должен быть доступен, если в этом нуждается большая потребительская база. Этот этап необходим для того, чтобы потребитель мог использовать данные. Имейте в виду, что для большинства практических применений SBOM требуется машиночитаемый формат, поэтому при транспортировке необходимо это учитывать.
Используя установленные протоколы, процесс этапа транспортировки должен быть тщательно задокументирован, чтобы обеспечить максимальную автоматизацию транспортировки. Интерфейс прикладного программирования (API) должен быть доступным, воспроизводимым и последовательным. Было бы достаточно классифицировать интерфейс OpenAPI как сложный, если он предлагает документацию для передачи репрезентативного состояния (REST) или RESTful API. 13 Другие стандарты API, такие как протокол простого доступа к объектам (SOAP) или язык запросов к графам (GraphQL), также могут считаться достаточными. REST — это лишь один популярный пример стандартизированного интерфейса. Фактически, любые интерфейсы, предлагающие сопоставимый уровень простоты интеграции, достаточны, чтобы быть отнесены к категории сложных.
Как платформа Scribe отвечает требованиям
Scribe разработал платформу, которая позволяет автоматически опубликовать / подписаться СЕРВИС. Производитель программного обеспечения может связать свои конвейеры CI с платформой, чтобы при каждом запуске сборки создавался соответствующий SBOM. Эти SBOM затем обогащаются дополнительной информацией, и к ним можно получить доступ в зависимости от конкретного проекта, конвейера сборки, даты и времени. Продюсер может добавлять подписчиков в каждый проект, чтобы, как только они решат публиковать новая версия программного обеспечения. Все подписчики получают уведомление и немедленно получают полный доступ не только к новому SBOM, но и ко всей другой информации о безопасности, которая его сопровождает. Подписчики могут получить доступ к SBOM, к которым у них есть доступ, в свободное время и загрузить их, когда захотят.
Как только соединение с конвейером сборки установлено и подписчик подтверждает, что он заинтересован в данных, весь поток информации автоматизируется и практически не требует ручного вмешательства. Данные безопасности зашифрованы и защищены Scribe, и доступ имеют только производитель и утвержденные подписчики. Обнаружение происходит автоматически, доступ определяется производителем, а транспортировка осуществляется по желанию абонента.
Будущее совместного использования SBOM
В наши дни обмен SBOM скорее всего будет осуществляться по электронной почте, чем с помощью автоматизированной системы, но этот подход не масштабируем. Чтобы обеспечить более широкое совместное использование, необходимо, чтобы больше инструментов и платформ, таких как Scribe, стали доступными, простыми в использовании и доступными. Разнообразие решений для совместного использования, разработанных для нужд различных заинтересованных сторон, было бы полезно для экосистемы совместного использования SBOM. Эти условия существуют потому, что клиенты могут попросить данного поставщика использовать различные методы транспортировки, а их вышестоящие партнеры могут предоставить клиенту данные SBOM с использованием различных методов. Нам нужно больше решений, которые могут справиться с выявленными особыми ситуациями, одновременно пытаясь, когда это практически возможно, отказаться от ручных процессов и избежать действий, препятствующих функциональной совместимости. Целью отрасли должно быть предотвращение появления многочисленных решений по совместному использованию SBOM, которые несовместимы друг с другом в более крупной цепочке поставок, поскольку это только усугубит существующие проблемы.
С Платформа Scribe бесплатна. использовать до 100 сборок в месяц. Я рекомендую вам попробовать и посмотреть, скольким вашим требованиям в области безопасности и нормативных требований отвечает платформа. Нам еще предстоит пройти долгий путь к созданию действительно универсальной платформы, отвечающей нашему видению, но это хорошая отправная точка, которой мы хотим поделиться с миром.
Этот контент предоставлен вам Scribe Security, ведущим поставщиком комплексных решений для обеспечения безопасности цепочки поставок программного обеспечения, обеспечивающим современную безопасность артефактов кода, а также процессов разработки и доставки кода по всей цепочке поставок программного обеспечения. Подробнее.
Статьи по теме
