Lista materiałów oprogramowania (SBOM) opiera się na pojęciu zestawienia materiałów produkcyjnych (BOM), które jest spisem wszystkich elementów zaangażowanych w produkt. Na przykład producenci z branży motoryzacyjnej prowadzą dokładny BOM dla każdego zbudowanego pojazdu. Części zbudowane przez producenta oryginalnego sprzętu i części od dostawców zewnętrznych są wymienione w tym zestawieniu komponentów.
W maju 2021 r. prezydent USA podpisał dekret wykonawczy zawierający dyrektywy bezpieczeństwa cybernetycznego dotyczące federalnego bezpieczeństwa cybernetycznego wyszczególniając m.in. SBOM. SBOM to lista wszystkich komponentów typu open source i innych firm, które są zawarte w bazie kodu. Te wtrącenia do kodu źródłowego mogą wprowadzić możliwe luki w opracowanych aplikacjach. Aby osiągnąć zgodność w tym obszarze, zespoły programistyczne muszą korzystać ze stabilnych platform programistycznych, takich jak Amplication.com, aby promować ogólną przejrzystość aplikacji.
Co należy uwzględnić w SBOM?
SBOM musi zawierać pełny spis wszystkich pakietów oprogramowania uruchomione w produkcie, a także podmiot, który je utworzył. Dostawca, nazwa komponentu, wersja komponentu, inne unikalne identyfikatory, połączenie zależności, autor danych SBOM i znacznik czasu są zawarte w informacjach podstawowych dla każdego komponentu.
Praktyki i procesy dotyczące żądań SBOM, w tym częstotliwość, głębokość, znane niewiadome, dystrybucję i dostawę, kontrolę dostępu i usuwanie błędów.
Nieprzestrzeganie licencji open source może narazić organizacje kosztownych procesów sądowych i kradzieży własności intelektualnej (IP). Konflikty dotyczące licencji oprogramowania typu open source, takich jak Powszechna Licencja Publiczna GNU, mogą mieć znaczący wpływ na zgodność organizacji. Ta zasada powinna zostać rozszerzona na API i frameworki baz danych. Dlatego ważne jest, aby SBOM zawierał szczegółowe informacje o licencji.
SBOM dla aplikacji SaaS może również zawierać informacje o interfejsach API lub usługach stron trzecich wymaganych do uruchomienia aplikacji SaaS.
Korzyści z korzystania z zestawienia komponentów oprogramowania
SBOM mogą pomóc każdej firmie, której zależy na zmniejszeniu ryzyka i przestrzeganiu najlepszych praktyk w zakresie cyberbezpieczeństwa bardziej niż kiedykolwiek. Ułatwiają udostępnianie informacji o składnikach oprogramowania i lukach w zabezpieczeniach. Poniżej przedstawiono niektóre z najważniejszych zalet SBOM.
SBOM to lepszy sposób na śledzenie audytów oprogramowania i kryteriów zgodności z przepisami. Ponieważ oprogramowanie typu open source jest tak powszechnie dostępne, firmy muszą zachować szczególną ostrożność, aby zapobiec konfliktom licencji lub trudnościom w przestrzeganiu przepisów. Niespełnienie wymagań dotyczących oprogramowania może prowadzić do działań prawnych, a nawet zaszkodzić reputacji firmy. SBOM upraszczają należytą staranność i pomagają we wczesnym wykrywaniu wad, umożliwiając usprawnienie procesu. Umożliwiają również szybsze i dokładniejsze odpowiedzi na roszczenia licencyjne.
Firmy tworzące oprogramowanie mogą używać SBOM do unikaj znanych luk i/lub wykrywaj je i usuwaj, zanim zostaną wprowadzone do produkcji. Ostatecznie SBOM pomagają twórcom i programistom szybciej wykrywać i usuwać luki w zabezpieczeniach. SBOM upraszcza należytą staranność i umożliwia szybszą identyfikację i rozwiązywanie problemów, gdy firma kupuje nowe oprogramowanie.
SBOM pomagają wydajniej zarządzać oprogramowaniem. Ręczne przeszukiwanie milionów wierszy kodu w celu wykrycia i naprawy luk w zabezpieczeniach jest niezwykle czasochłonne i wymagające dużej ilości zasobów. Co więcej, wraz ze wzrostem złożoności oprogramowania rośnie również wysiłek. SBOM to struktura, która pomaga w skutecznym zarządzaniu różnymi komplikacjami, jednocześnie obniżając wydatki. SBOM skracają czas i pozwalają na mniej nieplanowanych i nieplanowanych prac dzięki konsolidacji listy komponentów i wersji w jednej lokalizacji. Jest to również zautomatyzowane, co pozwala utrzymać niskie ceny i wysoką produkcję.
Mimo że SBOM nie może zapobiec nieodkrytym błędom, może pomóc w wykrywaniu błędów na wczesnym etapie procesu. W rezultacie może to pomóc zmniejszyć prawdopodobieństwo, że te błędy wylądują w oprogramowaniu. Ponadto przyczynia się do ogólnej jakości oprogramowania.
Wnioski
Głównym wnioskiem z tego wszystkiego jest to, że oprócz przestrzegania zgodności z przepisami, wdrożenie SBOM przyczynia się również do ogólna cyberodporność organizacji i jej klientów. Zespoły programistyczne muszą stale aktualizować SBOM i dążyć do korzystania wyłącznie z bibliotek i segmentów kodu typu open source, które mają pozytywne wyniki w branży.
