As listas de materiais de software estão passando por um momento.
Na sequência de uma ordem executiva emitida pela administração Biden em maio de 2021, os manifestos de software, que descrevem os componentes e dependências utilizados direta e indiretamente para desenvolver aplicações, são agora exigidos pelo governo dos EUA a todos os contratantes federais. Dado o nível baixo de produção a slista de materiais de oftware (SBOM) - uma variedade crescente de ferramentas usadas durante o desenvolvimento também pode produzir um - as listas de ingredientes de aplicação estão proliferando. Como resultado, quase metade de todas as empresas agora também exige SBOMs para qualquer software. Espera-se que esse número atinja 60% até 2025, em comparação com menos de 5% em 2022, de acordo com dados da empresa de pesquisa de mercado Gartner.
As determinações federais resultaram em uma corrida aos SBOMs e em mudanças na forma como os desenvolvedores documentam seus softwares, diz Stephen Magill, vice-presidente de inovação de produtos da Sonatype, uma empresa de ferramentas de desenvolvimento de software.
“Os mandatos do SBOM que vêm do governo e dos reguladores fornecem um incentivo importante para melhorar o seu processo de desenvolvimento e implementar uma ferramenta”, diz ele. “Essa é uma grande parte da razão pela qual essas regulamentações estão surgindo. É porque a indústria não adotou universalmente essas ferramentas e o código aberto continua a ser uma enorme área de risco que, em muitas organizações, simplesmente não é gerenciada.”
A pressa em acompanhar o mandato do governo está levando a uma rápida evolução na indústria, à medida que os padrões tentam levar em conta vários ingredientes que compõem o desenvolvimento de software. Em junho, por exemplo, o Open Worldwide Application Security Project (OWASP) anunciou versão 1.5 de seu padrão SBOM, CycloneDX, que agora inclui informações sobre os modelos de aprendizado de máquina (ML) usados em uma aplicação específica, bem como uma medida da qualidade do SBOM.
Embora os SBOMs atuais sejam muitas vezes pouco mais do que listas de componentes de software, o objetivo final é dar às organizações uma maneira de identificar e documentar pontos fracos em seu software, diz Thomas Pace, CEO da NetRise, empresa de segurança estendida de IoT.
“Atualmente, os usuários finais têm o problema de tomar decisões com base em dados incompletos, especialmente no que se refere a… dispositivos que executam firmware, que ainda é uma caixa preta para a esmagadora maioria das organizações”, diz ele. “Depois de obterem esses SBOMs, eles poderão finalmente tomar decisões baseadas em dados sobre o risco dos vários dispositivos, aplicativos e sistemas que estão utilizando.”
Padrões SPDX, CycloneDX e SWID
Os EUA governo reconhece três padrões SBOM como atendendo aos seus requisitos mínimos: tags de identificação de software (SWID), o Software Package Data Exchange (SPDX) e CycloneDX.
Em 2009, a International Standards Organization (ISO) criou tags SWID como uma forma de as organizações rastrearem o software instalado em seus sistemas gerenciados. Há mais de uma década, a Linux Foundation criou o SPDX para auxiliar na troca de informações sobre licenciamento. Em 2017, a OWASP criou o CycloneDX como forma de troca de dados em SBOMs.
Os três padrões se sobrepõem significativamente, mas o SPDX e o CycloneDX parecem ter o maior impulso. Também há nuances entre eles – o SPDX ainda tem um foco maior no gerenciamento de licenças e no grau em que oferece suporte à legibilidade por máquina. Na prática, porém, tanto os consumidores como os fornecedores de SBOMs devem ser capazes de trabalhar com os formatos, diz Fernando Montenegro, analista principal sénior de segurança cibernética da empresa de análise Omdia, irmã da Dark Reading.
“Se você é um desenvolvedor, pode usar SBOMs para rastrear mais facilmente as dependências que herdará em seu próprio software à medida que adiciona módulos diferentes. Isso o ajudará a tomar melhores decisões sobre segurança”, diz ele. “Se você faz parte de uma equipe de segurança, os SBOMs fornecidos por seus fornecedores podem ajudá-lo a entender quais componentes estão em execução em seu ambiente... você pode priorizar mais facilmente ações de correção em seus sistemas.”
Indo além da consciência
Visibilidade e conscientização são os principais benefícios dos SBOMs atualmente. Os SBOMs CycloneDX, por exemplo, contêm informações sobre licenças de software, serviços de baixo código e modelos de aprendizado de máquina usados no desenvolvimento, bem como informações sobre divulgação de vulnerabilidades e anotações. Como 95% das vulnerabilidades não estão no dependências diretas usadas para construir software mas no dependências indiretas incluídas pelos desenvolvedores desses componentes, a maioria das empresas não tem uma boa visibilidade do risco do software adquirido, afirma Jamie Scott, gestor de produto da Endor Labs, uma empresa de gestão de risco de software.
“As pessoas querem entender seu software e inventário, para que possam tomar decisões informadas sobre gerenciamento de riscos, e podem fazer isso razoavelmente bem com SCA [análise de composição de software] para o software que criam”, diz ele. “Mas para o software que adquirem, falta-lhes essa visibilidade. Portanto, os SBOMs visam obter visibilidade de seus aplicativos próprios e de terceiros, para que você tenha um inventário completo de software.”
No entanto, os SBOMs tornar-se-ão cada vez mais operacionalizados, afirma Zach Capers, analista sénior de segurança da Capterra, uma empresa de serviços de mercado de software. As pesquisas da empresa descobriram que quase metade (49%) das empresas exige SBOMs como parte do seu atual processo de aquisição de software.
“Assim como os compradores de software podem aproveitar os SBOMs para melhorar a visibilidade em toda a sua cadeia de fornecimento de software, os desenvolvedores de software também podem rastrear melhor os componentes usados para desenvolver seus produtos”, diz ele. “Ainda estamos nos estágios iniciais, mas eventualmente você aprenderá sobre uma vulnerabilidade recém-descoberta e poderá determinar instantaneamente se ela está ou não escondida em algum lugar da pilha de software da sua empresa, graças aos SBOMs.”
O atual conjunto de mudanças tem mais a ver com a expansão do escopo do que é documentado usando SBOMs, mas eventualmente uma variedade de medidas de risco — e possíveis controles de segurança — poderiam ser ligadas aos SBOMs, possivelmente levando a um regime de responsabilidade de software.
Aprendizado de máquina, automação em foco
Quando os invasores começaram a explorar as vulnerabilidades do Log4j usando a prova de conceito do Log4Shell, as empresas se esforçaram para determinar se o componente de código aberto amplamente difundido estava em seus ambientes.
Quando os profissionais de segurança “lembram do Log4Shell, parte do desafio para muitas organizações era responder se estavam ou não usando o Log4j e se eram vulneráveis”, diz Josh Thorngren, chefe de defesa de desenvolvedores da ForAllSecure, uma empresa de testes de segurança. “As organizações com SBOMs serão capazes de responder a essa pergunta mais rapidamente do que aquelas sem, [e] com o tempo começaremos a ver essa variação e a ouvir essas reações dos profissionais de segurança em liberdade.”
Além disso, os sistemas de software provavelmente automatizarão suas respostas a vulnerabilidades conhecidas. As empresas entenderão as vulnerabilidades em seus produtos, especialmente aquelas provenientes de dependências indiretas, e – após o anúncio de uma nova vulnerabilidade – serão capazes de implementar controles, diz Pace, da NetRise.
“Agora você pode implementar um controle de compensação que detecta o tráfego direcionado a esse dispositivo especificamente em torno dessas … explorações disponíveis, que basicamente todos os firewalls e sistemas de detecção de intrusão são capazes de fazer hoje”, diz Pace. “Sem o SBOM, você está totalmente cego para esses riscos e simplesmente espera que os fabricantes de dispositivos tenham desenvolvido um dispositivo perfeitamente seguro, o que obviamente é impossível.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
- Fonte: https://www.darkreading.com/dr-tech/sboms-still-more-mandate-than-security
- :tem
- :é
- :não
- $UP
- 1
- 2017
- 2021
- 2022
- 2025
- 95%
- a
- Capaz
- Sobre
- Segundo
- Conta
- em
- ações
- adicionar
- Adição
- administração
- adotado
- advocacia
- atrás
- Ajuda
- Todos os Produtos
- tb
- an
- análise
- analista
- e
- anunciou
- Anúncio
- responder
- qualquer
- Aplicação
- segurança da aplicação
- aplicações
- SOMOS
- ÁREA
- por aí
- AS
- At
- automatizar
- Automação
- disponível
- consciência
- em caminho duplo
- Barra
- baseado
- Basicamente
- BE
- Porque
- tornam-se
- começou
- Benefícios
- Melhor
- entre
- Pós
- Biden
- Administração de Biden
- Projeto de lei
- Contas inclusas
- Preto
- cego
- ambos
- Caixa
- construir
- mas a
- compradores
- by
- CAN
- capaz
- Chefe executivo
- cadeia
- desafiar
- Alterações
- vinda
- Empresas
- Empresa
- comparado
- componente
- componentes
- Consumidores
- continua
- empreiteiros
- ao controle
- controles
- poderia
- curso
- crio
- criado
- Atual
- Atualmente
- Cíber segurança
- Escuro
- Leitura escura
- dados,
- Data Exchange
- orientado por dados
- década
- decisões
- Grau
- Detecção
- Determinar
- desenvolver
- desenvolvido
- Developer
- desenvolvedores
- em desenvolvimento
- Desenvolvimento
- ferramentas de desenvolvimento
- dispositivo
- Dispositivos/Instrumentos
- diferente
- diretamente
- divulgação
- descoberto
- do
- documento
- documentado
- documentando
- durante
- Cedo
- facilmente
- final
- Meio Ambiente
- ambientes
- especialmente
- Éter (ETH)
- eventual
- eventualmente
- evolução
- exemplo
- exchange
- executivo
- ordem executiva
- expansão
- esperado
- façanhas
- RÁPIDO
- mais rápido
- Federal
- Finalmente
- firewalls
- Empresa
- Foco
- seguinte
- Escolha
- encontrado
- Foundation
- da
- cheio
- ter
- obtendo
- OFERTE
- dado
- Go
- meta
- Bom estado, com sinais de uso
- Governo
- maior
- Metade
- Ter
- ter
- he
- cabeça
- ouvir
- ajudar
- Acertar
- esperando
- Como funciona o dobrador de carta de canal
- Contudo
- HTTPS
- enorme
- identificação
- identificar
- if
- executar
- importante
- impossível
- melhorar
- in
- Incentivo
- incluído
- inclui
- aumentando
- cada vez mais
- indiretamente
- indústria
- INFORMAÇÕES
- informado
- Inovação
- imediatamente
- Internacionais
- para dentro
- detecção de intrusão
- inventário
- iot
- ISO
- emitem
- Emitido
- IT
- ESTÁ
- Jamie
- jpg
- Junho
- apenas por
- Guarda
- conhecido
- Laboratório
- Falta
- grande
- principal
- APRENDER
- aprendizagem
- menos
- Alavancagem
- Licença
- licenças
- Licenciamento
- Provável
- linux
- fundação linux
- listas
- pequeno
- ll
- log4j
- Log4Shell
- Baixo
- máquina
- aprendizado de máquina
- Maioria
- fazer
- Fazendo
- gerenciados
- de grupos
- Gerente
- Mandato
- mandatos
- Fabricantes
- muitos
- mercado
- pesquisa de mercado
- materiais
- Posso..
- a medida
- medidas
- reunião
- mínimo
- ML
- modelos
- Módulos
- momento
- Ímpeto
- Montenegro
- mais
- a maioria
- quase
- Novo
- recentemente
- nist
- agora
- número
- of
- frequentemente
- Odisseia
- on
- uma vez
- ONE
- aberto
- open source
- or
- ordem
- organização
- organizações
- Fora
- esboço
- Acima de
- próprio
- Paz
- pacote
- parte
- particular
- Pessoas
- Lugar
- platão
- Inteligência de Dados Platão
- PlatãoData
- possivelmente
- potencial
- prática
- presente
- presidente
- primário
- Diretor
- Priorizar
- processo
- aquisição
- produzir
- produtor
- Produto
- Inovação de Produto
- gerente de produto
- Produtos
- projeto
- fornecer
- fornecido
- fornecedores
- qualidade
- questão
- RE
- reações
- Leitura
- reconhece
- regulamentos
- Reguladores
- requerer
- requeridos
- Requisitos
- pesquisa
- respostas
- resultar
- resultou
- Risco
- gestão de risco
- riscos
- corrida
- apressar
- s
- diz
- escopo
- scott
- seguro
- segurança
- teste de segurança
- Vejo
- parecem
- senior
- Serviços
- conjunto
- rede de apoio social
- de forma considerável
- simplesmente
- So
- Software
- Desenvolvedores de software
- desenvolvimento de software
- algum lugar
- fonte
- especificamente
- pilha
- Estágio
- padrão
- padrões
- começo
- Stephen
- Ainda
- supply
- cadeia de suprimentos
- suportes
- sistemas
- alvejando
- Profissionais
- ensaio
- do que
- obrigado
- que
- A
- deles
- Eles
- Lá.
- Este
- deles
- think
- De terceiros
- isto
- aqueles
- três
- todo
- tempo
- para
- hoje
- também
- ferramenta
- ferramentas
- TOTALMENTE
- pista
- tráfego
- compreender
- us
- governo dos Estados Unidos
- usar
- usava
- usuários
- utilização
- Utilizando
- variedade
- vário
- fornecedores
- vício
- Vice-Presidente
- visibilidade
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- queremos
- foi
- Caminho..
- we
- BEM
- foram
- O Quê
- O que é a
- se
- qual
- porque
- generalizada
- Selvagem
- precisarão
- de
- dentro
- sem
- Atividades:
- no mundo todo
- Você
- investimentos
- zefirnet