Все больше и больше компаний признают важность актуального SBOM как части каждого продукта и новой версии. АНБ даже опубликовал статью поощрение компаний к использованию этого инструмента для повышения осведомленности о кибербезопасности и лучшей защиты своих цепочек поставок программного обеспечения. Даже если вы пришли к выводу, что создание SBOM — это правильно, вы можете не знать, как это сделать, какие инструменты использовать или как их реализовать. На рынке существует множество инструментов для создания SBOM: некоторые из них являются проприетарными, некоторые бесплатными, а некоторые — инструментами с открытым исходным кодом. В этой статье мы расскажем, какие ключевые функции должен иметь ваш инструмент создания SBOM, чтобы он соответствовал вашим потребностям.
SBOM-форматы
Есть два основных СБОМ форматы используемые сегодня на рынке: SPDX и CycloneDX.
Обмен данными программного пакета (SPDX) — это машиночитаемый проект SBOM с открытым исходным кодом, созданный фондом Linux. Последняя версия SPDX была разработана в соответствии со стандартом NTIA дляМинимальные элементы спецификации программного обеспечения.' В нем перечислены компоненты, авторские права, лицензии и ссылки на безопасность части программного обеспечения.
ЦиклонDX (CDX) Это также машиночитаемый формат SBOM с открытым исходным кодом, разработанный сообществом Open Web Application Security Project (OWASP). В качестве формата спецификации CycloneDX имеет и другие приложения, помимо подготовки программных спецификаций. Его также можно использовать для компиляции компонентов, уязвимостей и сервисов аппаратных и облачных систем.
Прежде чем приступить к использованию различных инструментов, подумайте, какой формат лучше всего соответствует вашим потребностям. Лучше всего учитывать не только текущее время, но и ваши будущие потребности, поскольку, как только вы примете определенный формат, вам, вероятно, будет легче его придерживаться. Подумайте, как будут использоваться ваши SBOM, и какие инструменты вы будете использовать для анализа данных. Если вы не уверены, какой формат выбрать, найдите инструмент, который может генерировать оба формата.
Ключевые особенности инструментов SBOM
Вот некоторые функции, на которые следует обратить внимание в хорошем инструменте создания SBOM:
Коллекция SBOM как из SCM, так и из конечного продукта – Полное освещение вашего продукта – ключ к хорошему SBOM. Хорошо известно, что на этапе разработки вы не всегда извлекаете все зависимости и интегрируете их в проект — это обычно делается только на финальной компиляции в конце вашего конвейера CI/CD. Получение SBOM от вашего SCM и вашего конечного продукта позволяет вам сравнить их, а также убедиться, что на этапах между ними не было внесено никаких нежелательных изменений в какие-либо файлы или папки. Сравнение файлов и папок между SBOM можно выполнить путем сравнения хэш-значений, рассчитанных для каждого из них. Наличие инструмента, который может делать это автоматически, сэкономит вам много времени и избавит от беспокойства.
СБОМ-анализ – SBOM – это файл с большим количеством данных. Лучше всего иметь программное обеспечение, предназначенное для анализа и получения информации, которую вы хотите получить. Конечно, создание такого программного обеспечения самостоятельно — процесс медленный и трудоемкий, поэтому гораздо лучше приобрести инструмент, который уже включает в себя программное обеспечение для анализа, чтобы вы могли проверять полученные отчеты, а не пытаться разобраться в многотысячном файле SBOM. . Некоторые отчеты, которые вы, возможно, захотите рассмотреть, — это подробные отчеты об уязвимостях для всех зависимостей, отчет о любом устаревшем компоненте, используемом в вашем программном обеспечении, отчет обо всех используемых лицензиях с открытым исходным кодом и отчет об относительном состоянии открытого программного обеспечения. используемые исходные компоненты. Последний может использовать такие элементы, как Система показателей OpenSSF дать беспристрастную оценку каждому использованному пакету.
Автоматизация СБОМ и безопасное хранение – Часть принципов структуры безопасности SLSA заключается в том, чтобы сделать каждую функцию безопасности максимально автоматической и максимально сложной для манипулирования. Идея состоит в том, что разрешение людям манипулировать результатами функции безопасности просто оставит возможность для отмены или манипуляции этой функцией по мере возникновения необходимости. В рамках этой концепции вы можете найти инструмент SBOM, который можно полностью автоматизировать и запускать независимо на каждом конвейере CI/CD или при компиляции без необходимости какого-либо вмешательства человеческого фактора. Кроме того, ищите инструмент SBOM, который хранит доказательства в безопасном месте, чтобы доступ к ним мог иметь только должным образом проверенный персонал. Это гарантировало бы, что доказательства SBOM не смогут быть изменены или удалены независимо от обстоятельств.
Непрерывный анализ SBOM – Еще одним потенциальным преимуществом хранения ваших SBOM третьей стороной является возможность этой третьей стороне постоянно сканировать их на наличие новых уязвимостей. Постоянно обнаруживаются новые уязвимости, о которых сообщается, и даже пакет, который сегодня считается чистым, завтра может перестать быть таковым. Наличие функции SBOM, которая постоянно сканирует все ваши SBOM и ищет новые уязвимости, уведомляя вас о любых находках, гарантирует, что даже если вы не будете создавать новый SBOM каждый день, неделю или месяц, вы все равно не будете застигнуты врасплох новая уязвимость в ранее чистом пакете, который вы включили в свой продукт.
Умный обмен SBOM – Одной из основных причин иметь хороший SBOM, помимо наличия источника для проверки возможных проблем в цепочке поставок программного обеспечения, является возможность поделиться им с другими. Возможно, вы захотите поделиться этой информацией с другими внутренними командами, клиентами, сторонними подрядчиками или аудиторами. Конечно, вы всегда можете просто отправить файл SBOM по электронной почте заинтересованному лицу, но, учитывая частые обновления программного обеспечения и, следовательно, частые новые SBOM, это может очень быстро стать очень утомительным. Гораздо лучше иметь инструмент со встроенной возможностью совместного использования, чтобы вы могли определить список подписчиков, и новые SBOM с сопроводительными отчетами или без них будут автоматически распространяться в зависимости от проекта, его подписчиков, уровня их интереса и т. д. .
Рекомендации СБОМ – Как мы уже упоминали, SBOM может включать в себя тысячи зависимостей. Ожидать чистого здоровья – нулевых уязвимостей – нереалистично. У вас всегда будут уязвимые места. Большой вопрос: можно ли использовать эти уязвимости в конкретной конфигурации вашего продукта? Только разработчики могут ответить на этот вопрос, но вам следует убедиться, что ваш инструмент SBOM имеет функцию, позволяющую вам поделиться этими результатами. Вы не хотите отвечать на один и тот же вопрос об уязвимости 1000 раз. Возможность добавлять рекомендации в SBOM с указанием точного статуса каждой найденной уязвимости позволит вам показать своим клиентам и партнерам, что вы на высоте, и поделиться результатами, как только ваши разработчики проверят, что конкретная уязвимость опасна. можно использовать в вашем продукте.
С чего начать работу с инструментом создания SBOM
Есть много других функций, которые вы можете искать и найти в инструменте создания SBOM, но я думаю, что наш список функций ясно дает понять, что хороший инструмент SBOM — это больше, чем просто отдельный элемент. Лучше всего найти полную систему, включающую создание SBOM, анализ (как точечный, так и непрерывный), отчеты и обмен данными.
Учитывая растущее внимание со стороны регулирующих органов в США, похоже, что вскоре сопутствующий SBOM станет стандартом для каждой новой версии программного обеспечения. Когда это произойдет, вы захотите уже выбрать лучший инструмент и включить его в свой SDLC. Еще хотелось бы отметить, что SBOM не может посягать на ваш IP – он не «просматривает» какой-либо код, а только сканирует имена файлов, версии и тому подобное. Это означает, что совместное использование SBOM или хранение их в безопасном месте доверенной третьей стороной никоим образом не ставит под угрозу вашу безопасность или IP.
Такие службы, как платформа Scribe Security, могут предложить вам все функции, описанные в этой статье, и постоянно добавляются новые функции. Не стесняйтесь посетить нашу платформу и узнать, какие еще функции включает в себя наш инструмент создания SBOM, которые могут принести пользу вам и вашей организации.