לכתבי חומרי תוכנה יש רגע.
בעקבות צו ביצוע שהוציא ממשל ביידן במאי 2021, מניפסטי התוכנה, המתארים את הרכיבים והתלות המשמשים הן במישרין והן בעקיפין לפיתוח יישומים, נדרשים כעת על ידי ממשלת ארה"ב מכל הקבלנים הפדרליים. בהתחשב ברף הנמוך להפקה a sכתב חומרי תוכנה (SBOM) - מגוון הולך וגדל של כלים המשמשים במהלך הפיתוח יכול גם לייצר אחד - הרשימות של מרכיבי היישום הולכות ומתרבות. כתוצאה מכך, כמעט מחצית מכל החברות דורשות כעת SBOMs עבור כל תוכנה. מספר זה צפוי להגיע ל-60% עד 2025, לעומת פחות מ-5% בשנת 2022, על פי נתונים מחברת מחקרי שוק גרטנר.
המנדטים הפדרליים הביאו למהר ל-SBOMs ולשינויים באופן שבו מפתחים מתעדים את התוכנה שלהם, אומר סטיבן מגיל, סגן נשיא לחדשנות מוצרים ב-Sonatype, חברת כלי פיתוח תוכנה.
"מנדטים של SBOM שיוצאים מהממשלה ומהרגולטורים מספקים תמריץ חשוב להעלות את תהליך הפיתוח שלך ולהשיג כלי", הוא אומר. "זה חלק גדול מהסיבה שהתקנות האלה נכנסות. זה בגלל שהתעשייה לא אימצה את הכלי הזה באופן אוניברסלי, וקוד פתוח ממשיך להיות תחום סיכון עצום שבארגונים רבים הוא פשוט לא מנוהל."
החיפזון לעמוד בקצב המנדט הממשלתי מוביל לאבולוציה מהירה בתוך התעשייה, שכן תקנים מנסים לתת חשבונות עבור מרכיבים שונים הנלווים לפיתוח תוכנה. ביוני, למשל, הוכרז פרויקט אבטחת היישומים הפתוחים העולמיים (OWASP). גרסה 1.5 של תקן ה-SBOM שלו, CycloneDX, שכולל כעת מידע על מודלים של למידת מכונה (ML) המשמשים באפליקציה מסוימת, כמו גם מדד לאיכות ה-SBOM.
בעוד ש-SBOM הנוכחיים הם לרוב מעט יותר מרשימות של רכיבי תוכנה, המטרה הסופית היא לתת לארגונים דרך לזהות ולתעד חולשות בתוכנה שלהם, אומר תומס פייס, מנכ"ל חברת האבטחה המורחבת של IoT NetRise.
"נכון לעכשיו, למשתמשי הקצה יש את הבעיה של קבלת החלטות על סמך נתונים לא מלאים, במיוחד כשזה נוגע ל... מכשירים המריצים קושחה, שהיא עדיין קופסה שחורה עבור הרוב המכריע של הארגונים", הוא אומר. "ברגע שיש להם את ה-SBOMs האלה, הם יכולים סוף סוף לקבל החלטות מונעות נתונים סביב הסיכון של המכשירים, היישומים והמערכות השונים שהם משתמשים בהם."
תקני SPDX, CycloneDX ו-SWID
ארצות הברית הממשלה מכירה בשלושה תקני SBOM כפי שעומדים בדרישות המינימום שלהם: תגיות זיהוי תוכנה (SWID), חילופי נתונים בחבילות תוכנה (SPDX) ו-CycloneDX.
בשנת 2009, ארגון התקנים הבינלאומי (ISO) יצר תגי SWID כדרך לארגונים לעקוב אחר התוכנה המותקנת במערכות המנוהלות שלהם. לפני יותר מעשור, קרן לינוקס יצרה את SPDX כדי לסייע בהחלפת מידע על רישוי. בשנת 2017, OWASP יצרה את CycloneDX כדרך להחליף נתונים על SBOMs.
שלושת התקנים חופפים באופן משמעותי, אך נראה כי ל-SPDX ול-CycloneDX יש את המומנטום הרב ביותר. יש גם ניואנסים ביניהם - ל-SPDX עדיין יש התמקדות גדולה יותר בניהול רישיונות ובמידת התמיכה בקריאה של מכונה. אולם בפועל, גם צרכנים וגם ספקים של SBOMs צריכים להיות מסוגלים לעבוד עם הפורמטים, אומר פרננדו מונטנגרו, אנליסט בכיר לאבטחת סייבר בחברת האנליסטים Omdia, אח של Dark Reading.
"אם אתה מפתח, אתה יכול להשתמש ב-SBOMs כדי לעקוב בקלות רבה יותר אחר התלות שתירש בתוכנה שלך כאשר אתה מוסיף מודולים שונים. זה יעזור לך לקבל החלטות טובות יותר לגבי אבטחה", הוא אומר. "אם אתה צוות אבטחה, אותם SBOMs שסופקו על ידי הספקים שלך יכולים לעזור לך להבין אילו רכיבים פועלים על הסביבה שלך ... אתה יכול לתעדף בקלות רבה יותר פעולות תיקון במערכות שלך."
מעבר למודעות
נראות ומודעות הם היתרונות העיקריים של SBOMs כיום. CycloneDX SBOMs, למשל, מכילים מידע על רישיונות התוכנה, שירותי קוד נמוך ומודלים של למידת מכונה המשמשים בפיתוח, כמו גם מידע על חשיפת פגיעות והערות. מכיוון ש-95% מהחולשות אינן ב- תלות ישירה המשמשת לבניית תוכנה אבל ב תלות עקיפה שנכללת על ידי מפתחי רכיבים אלה, לרוב החברות אין נראות טובה לגבי הסיכון של תוכנה שנרכשה, אומר ג'יימי סקוט, מנהל מוצר של Endor Labs, חברת ניהול סיכוני תוכנה.
"אנשים רוצים להבין את התוכנה והמלאי שלהם, כדי שיוכלו לקבל החלטות מושכלות בנושא ניהול סיכונים, והם יכולים לעשות זאת בצורה סבירה עם SCA [ניתוח הרכב תוכנה] עבור התוכנה שהם יוצרים", הוא אומר. "אבל עבור התוכנה שהם רוכשים, חסרה להם הנראות הזו. אז SBOMs עוסקים בהשגת נראות ליישומי הצד הראשון והשלישי שלך, כדי שיהיה לך מלאי תוכנה מלא."
עם זאת, SBOMs יהפכו יותר ויותר מבצעיים, אומר זאק קאפרס, אנליסט אבטחה בכיר בקפטרה, חברת שירותי שוק תוכנה. סקרים של החברה מצאו שכמעט מחצית (49%) מהחברות דורשות SBOM כחלק מתהליך רכש התוכנה הנוכחי שלהן.
"כמו שקוני תוכנה יכולים למנף SBOMs כדי לשפר את הנראות בכל שרשרת אספקת התוכנה שלהם, כך גם מפתחי תוכנה יכולים לעקוב טוב יותר אחר רכיבים המשמשים לפיתוח המוצרים שלהם", הוא אומר. "אנחנו עדיין בשלבים הראשונים, אבל בסופו של דבר תלמדו על פגיעות שהתגלתה לאחרונה ותוכלו לקבוע באופן מיידי אם היא אורבת איפשהו בערימת התוכנה של החברה שלכם, הודות ל-SBOMs."
מערכת השינויים הנוכחית עוסקת יותר בהרחבת ההיקף של מה שמתועד באמצעות SBOMs, אך בסופו של דבר מגוון אמצעי סיכון - ובקרות אבטחה פוטנציאליות - עלולים להיות מפתחים ל-SBOMs, ואולי להוביל ל-SBOMs. משטר לאחריות תוכנה.
למידת מכונה, אוטומציה - מוקד
כאשר התוקפים החלו לנצל את נקודות התורפה של Log4j באמצעות Log4Shell proof-of-concept, חברות התערבו כדי לקבוע אם רכיב הקוד הפתוח הנרחב נמצא בסביבות שלהן.
כשאנשי אבטחה "חושבים בחזרה ל-Log4Shell, חלק מהאתגר של ארגונים רבים היה לענות האם הם משתמשים ב-Log4j והיו פגיעים או לא", אומר ג'וש תורנגרן, ראש הסברה למפתחים ב-ForAllSecure, חברת בדיקות אבטחה. "ארגונים עם SBOMs יוכלו לענות על השאלה הזו מהר יותר מאלה שאין להם, [ו]עם הזמן נתחיל לראות את השונות הזו ולשמוע את התגובות הללו ממתרגלי אבטחה בטבע."
בנוסף, סביר להניח שמערכות תוכנה יהפכו את התגובות שלהן לאוטומטיות לפגיעויות ידועות. חברות יבינו את נקודות התורפה במוצרים שלהן, במיוחד אלו מתלות עקיפה, ו - בעקבות ההכרזה על פגיעות חדשה - יוכלו ליישם בקרות, אומר Pace של NetRise.
"עכשיו אתה יכול ליישם בקרה מפצה שמזהה תעבורה המכוונת לאותו מכשיר במיוחד סביב אותם ... ניצולים זמינים, שבעצם כל חומות האש ומערכות זיהוי החדירה מסוגלות לעשות היום", אומר פייס. "ללא ה-SBOM, אתה עיוור לחלוטין לסיכונים האלה ופשוט מקווה שיצרני המכשירים פיתחו מכשיר מאובטח לחלוטין, מה שכמובן בלתי אפשרי."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/dr-tech/sboms-still-more-mandate-than-security
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 1
- 2017
- 2021
- 2022
- 2025
- 95%
- a
- יכול
- אודות
- פי
- חֶשְׁבּוֹן
- לרוחב
- פעולות
- להוסיף
- תוספת
- מנהל
- מאומץ
- סנגור
- לִפנֵי
- סיוע
- תעשיות
- גם
- an
- אנליזה
- מנתח
- ו
- הודיע
- הַכרָזָה
- לענות
- כל
- בקשה
- אבטחת יישומים
- יישומים
- ARE
- AREA
- סביב
- AS
- At
- אוטומטי
- אוטומציה
- זמין
- מודעות
- בחזרה
- בָּר
- מבוסס
- בעיקרון
- BE
- כי
- להיות
- החל
- הטבות
- מוטב
- בֵּין
- מעבר
- ביידן
- מינהל ביידן
- הצעת חוק
- שטרות
- שחור
- עיוור
- שניהם
- אריזה מקורית
- לִבנוֹת
- אבל
- קונים
- by
- CAN
- מסוגל
- מנכ"ל
- שרשרת
- לאתגר
- שינויים
- מגיע
- חברות
- חברה
- לעומת
- רְכִיב
- רכיבים
- צרכנים
- ממשיך
- קבלנים
- לִשְׁלוֹט
- בקרות
- יכול
- קורס
- לִיצוֹר
- נוצר
- נוֹכְחִי
- כיום
- אבטחת סייבר
- כהה
- קריאה אפלה
- נתונים
- חילופי נתונים
- נתונים מונחים
- עָשׂוֹר
- החלטות
- תואר
- איתור
- לקבוע
- לפתח
- מפותח
- מפתח
- מפתחים
- מתפתח
- צעצועי התפתחות
- כלי פיתוח
- מכשיר
- התקנים
- אחר
- ישירות
- חשיפה
- גילה
- do
- מסמך
- מְתוֹעָד
- מתעד
- בְּמַהֲלָך
- מוקדם
- בקלות
- סוף
- סביבה
- סביבות
- במיוחד
- Ether (ETH)
- בסופו של דבר
- בסופו של דבר
- אבולוציה
- דוגמה
- חליפין
- מנהלים
- - הזמנה
- הרחבת
- צפוי
- מעללים
- מהר
- מהר יותר
- פדרלי
- בסופו של דבר
- חומות אש
- פירמה
- להתמקד
- הבא
- בעד
- מצא
- קרן
- החל מ-
- מלא
- לקבל
- מקבל
- לתת
- נתן
- Go
- מטרה
- טוב
- ממשלה
- יותר
- חצי
- יש
- יש
- he
- ראש
- לִשְׁמוֹעַ
- לעזור
- מכה
- מקווה
- איך
- אולם
- HTTPS
- עצום
- הזדהות
- לזהות
- if
- ליישם
- חשוב
- בלתי אפשרי
- לשפר
- in
- תמריץ
- כלול
- כולל
- גדל
- יותר ויותר
- בעקיפין
- תעשייה
- מידע
- הודעה
- חדשנות
- מייד
- ברמה בינלאומית
- אל תוך
- גילוי פריצה
- מלאי
- IOT
- ISO
- סוגיה
- הפיקו
- IT
- שֶׁלָה
- ג'יימי
- jpg
- יוני
- רק
- שמור
- ידוע
- מעבדות
- חוסר
- גָדוֹל
- מוביל
- לִלמוֹד
- למידה
- פחות
- תנופה
- רישיון
- רישיונות
- רישוי
- סביר
- לינוקס
- בסיס לינוקס
- רשימות
- קְצָת
- ll
- log4j
- Log4Shell
- נמוך
- מכונה
- למידת מכונה
- הרוב
- לעשות
- עשייה
- הצליח
- ניהול
- מנהל
- מנדט
- מנדטים
- התעשיינים
- רב
- שוק
- מחקר שוק
- חומרים
- מאי..
- למדוד
- אמצעים
- מפגש
- מינימום
- ML
- מודלים
- מודולים
- רֶגַע
- מומנטום
- מונטנגרו
- יותר
- רוב
- כמעט
- חדש
- חדש
- ניסט
- עַכשָׁיו
- מספר
- of
- לעתים קרובות
- אומדיה
- on
- פעם
- ONE
- לפתוח
- קוד פתוח
- or
- להזמין
- ארגון
- ארגונים
- הַחוּצָה
- מתווה
- יותר
- שֶׁלוֹ
- שלום
- חבילה
- חלק
- מסוים
- אֲנָשִׁים
- מקום
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- יִתָכֵן
- פוטנציאל
- תרגול
- להציג
- נשיא
- יְסוֹדִי
- מנהל
- תיעדוף
- תהליך
- רכש
- לייצר
- הפקת
- המוצר
- חדשנות המוצר
- מנהל מוצר
- מוצרים
- אנשי מקצוע
- פּרוֹיֶקט
- לספק
- ובלבד
- ספקים
- איכות
- שאלה
- RE
- תגובות
- קריאה
- מזהה
- תקנון
- רגולטורים
- לדרוש
- נדרש
- דרישות
- מחקר
- תגובות
- תוצאה
- הביא
- הסיכון
- ניהול סיכונים
- סיכונים
- ריצה
- לְמַהֵר
- s
- אומר
- היקף
- סקוט
- לבטח
- אבטחה
- בדיקות אבטחה
- לִרְאוֹת
- נראה
- לחצני מצוקה לפנסיונרים
- שירותים
- סט
- צריך
- באופן משמעותי
- בפשטות
- So
- תוכנה
- מפתחי תוכנה
- פיתוח תוכנה
- אי שם
- מָקוֹר
- במיוחד
- לערום
- שלבים
- תֶקֶן
- תקנים
- התחלה
- סטיבן
- עוד
- לספק
- שרשרת אספקה
- תומך
- מערכות
- מיקוד
- נבחרת
- בדיקות
- מֵאֲשֶׁר
- תודה
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- לחשוב
- צד שלישי
- זֶה
- אלה
- שְׁלוֹשָׁה
- בכל
- זמן
- ל
- היום
- גַם
- כלי
- כלים
- לְגַמרֵי
- לעקוב
- תְנוּעָה
- להבין
- us
- ממשלת ארצות הברית
- להשתמש
- מְשׁוּמָשׁ
- משתמשים
- באמצעות
- ניצול
- מגוון
- שונים
- ספקים
- סְגָן
- סגן הנשיא
- ראות
- פגיעויות
- פגיעות
- פגיע
- רוצה
- היה
- דֶרֶך..
- we
- טוֹב
- היו
- מה
- מה
- אם
- אשר
- למה
- נָפוֹץ
- בר
- יצטרך
- עם
- בתוך
- לְלֹא
- תיק עבודות
- עולמי
- אתה
- זפירנט