Специфікації програмного забезпечення мають момент.
Відповідно до виконавчого наказу, виданого адміністрацією Байдена в травні 2021 року, маніфести програмного забезпечення, які окреслюють компоненти та залежності, що використовуються як прямо, так і опосередковано для розробки програм, тепер вимагаються урядом США від усіх федеральних підрядників. Враховуючи низьку планку виробництва a sопис матеріалів (SBOM) - Все більша різноманітність інструментів, що використовуються під час розробки, також може створити один - списки інгредієнтів для застосування поширюються. Як наслідок, майже половині всіх компаній тепер також потрібні SBOM для будь-якого програмного забезпечення. Очікується, що до 60 року ця кількість сягне 2025% порівняно з менш ніж 5% у 2022 році, згідно з даними. дані дослідницької компанії Gartner.
Федеральні повноваження призвели до стрімкого впровадження SBOM і змін у тому, як розробники документують своє програмне забезпечення, каже Стівен Меґілл, віце-президент з інновацій у Sonatype, фірмі, що займається розробкою програмного забезпечення.
«Доручення SBOM, які надходять від уряду та регуляторів, є важливим стимулом для вдосконалення процесу розробки та створення інструменту», — каже він. «Це значною мірою пояснює, чому ці правила запроваджуються. Це тому, що галузь не запровадила цей інструментарій повсюдно, а відкритий код продовжує залишатися величезною сферою ризику, якою в багатьох організаціях просто не керують».
Поспіх, щоб не відставати від урядового мандату, призводить до швидкої еволюції в галузі, оскільки стандарти намагаються врахувати різні складові, які входять у розробку програмного забезпечення. У червні, наприклад, було оголошено про проект Open Worldwide Application Security Project (OWASP). версія 1.5 свого стандарту SBOM CycloneDX, який тепер містить інформацію про моделі машинного навчання (ML), що використовуються в певній програмі, а також показник якості SBOM.
Незважаючи на те, що поточні SBOM часто не є чимось більшим, ніж списки компонентів програмного забезпечення, кінцева мета полягає в тому, щоб дати організаціям можливість виявити та задокументувати слабкі місця у своєму програмному забезпеченні, говорить Томас Пейс, генеральний директор компанії NetRise, що займається розширеною безпекою Інтернету речей.
«Наразі кінцеві користувачі стикаються з проблемою прийняття рішень на основі неповних даних, особливо це стосується … пристроїв із вбудованим програмним забезпеченням, які все ще є чорною скринькою для переважної більшості організацій», — говорить він. «Отримавши ці SBOM, вони нарешті зможуть приймати рішення на основі даних щодо ризику різних пристроїв, програм і систем, які вони використовують».
Стандарти SPDX, CycloneDX і SWID
США уряд визнає три стандарти SBOM як відповідність їхнім мінімальним вимогам: теги ідентифікації програмного забезпечення (SWID), обмін даними пакетів програмного забезпечення (SPDX) і CycloneDX.
У 2009 році Міжнародна організація зі стандартизації (ISO) створила теги SWID, щоб організації відстежували програмне забезпечення, встановлене в їхніх керованих системах. Понад десять років тому Linux Foundation створила SPDX для допомоги в обміні інформацією про ліцензування. У 2017 році OWASP створив CycloneDX як спосіб обміну даними про SBOM.
Ці три стандарти значно перетинаються, але SPDX і CycloneDX, здається, мають найбільший імпульс. Між ними також є нюанси — SPDX усе ще більше зосереджується на управлінні ліцензіями та ступені підтримки машиночитаності. Однак на практиці як споживачі, так і постачальники SBOM повинні мати можливість працювати з форматами, каже Фернандо Монтенегро, старший головний аналітик з кібербезпеки аналітичної фірми Omdia, брата Dark Reading.
«Якщо ви розробник, ви можете використовувати SBOM, щоб легше відстежувати залежності, які ви успадкуєте у своєму програмному забезпеченні, додаючи різні модулі. Це допоможе вам приймати кращі рішення щодо безпеки», – каже він. «Якщо ви працюєте з безпеки, ці SBOM, надані вашими постачальниками, можуть допомогти вам зрозуміти, які компоненти працюють у вашому середовищі… вам буде легше визначити пріоритетність дій із відновлення у ваших системах».
Рух за межі усвідомлення
Наочність і обізнаність є основними перевагами SBOM на даний момент. CycloneDX SBOM, наприклад, містить інформацію про ліцензії на програмне забезпечення, служби з низьким кодом і моделі машинного навчання, які використовуються в розробці, а також інформацію про розкриття вразливостей і анотації. Тому що 95% вразливостей не в прямі залежності, які використовуються для створення програмного забезпечення але в непрямі залежності, включені розробниками цих компонентів, більшість компаній не мають належного уявлення про ризики придбаного програмного забезпечення, каже Джеймі Скотт, менеджер із продуктів Endor Labs, фірми з управління ризиками програмного забезпечення.
«Люди хочуть розуміти своє програмне забезпечення та інвентар, щоб вони могли приймати обґрунтовані рішення щодо управління ризиками, і вони можуть робити це достатньо добре за допомогою SCA [аналіз складу програмного забезпечення] для програмного забезпечення, яке вони створюють», — говорить він. «Але щодо програмного забезпечення, яке вони купують, їм бракує такої видимості. Таким чином, SBOM призначено для отримання видимості ваших перших і сторонніх програм, щоб у вас був повний інвентар програмного забезпечення».
Проте SBOM дедалі більше впроваджуватимуться в експлуатацію, каже Зак Каперс, старший аналітик із безпеки Capterra, фірми, що надає послуги на ринку програмного забезпечення. Опитування компанії виявили, що майже половині (49%) компаній потрібні SBOM як частина поточного процесу закупівлі програмного забезпечення.
«Подібно до того, як покупці програмного забезпечення можуть використовувати SBOM для покращення видимості в усьому ланцюжку постачання програмного забезпечення, розробники програмного забезпечення також можуть краще відстежувати компоненти, які використовуються для розробки їхніх продуктів», — каже він. «Ми все ще перебуваємо на ранніх стадіях, але з часом ви дізнаєтеся про нещодавно виявлену вразливість і миттєво зможете визначити, чи вона ховається десь у стеку програмного забезпечення вашої компанії, завдяки SBOM».
Поточний набір змін спрямований більше на розширення обсягу того, що документується за допомогою SBOM, але врешті-решт різноманітні заходи ризику — і потенційні засоби контролю безпеки — можуть бути прив’язані до SBOM, що, можливо, призведе до режим програмної відповідальності.
Машинне навчання, автоматизація в центрі уваги
Коли зловмисники почали використовувати вразливості Log4j, використовуючи перевірку концепції Log4Shell, компанії намагалися визначити, чи є широко поширений компонент з відкритим кодом у їхньому середовищі.
Коли спеціалісти з безпеки «згадують Log4Shell, частина проблем для багатьох організацій полягала в тому, щоб відповісти, чи використовують вони Log4j і чи є вони вразливими», — каже Джош Торнгрен, керівник відділу захисту прав розробників у ForAllSecure, фірмі з тестування безпеки. «Організації з SBOM зможуть відповісти на це запитання швидше, ніж ті, у яких немає, [і] з часом ми почнемо помічати цю різницю та чути реакцію практиків безпеки в дикій природі».
Крім того, програмні системи, ймовірно, автоматизують свої реакції на відомі вразливості. Компанії будуть розуміти уразливості своїх продуктів, особливо тих, що виникають через непрямі залежності, і — після оголошення про нову вразливість — зможуть запроваджувати засоби контролю, каже Pace з NetRise.
«Тепер ви можете запровадити компенсаційний контроль, який виявляє трафік, націлений на цей пристрій, саме навколо тих… доступних експлойтів, на які сьогодні здатні практично всі брандмауери та системи виявлення вторгнень», — каже Пейс. «Без SBOM ви абсолютно не бачите цих ризиків і просто сподіваєтеся, що виробники пристроїв розробили абсолютно безпечний пристрій, що, звичайно, неможливо».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/dr-tech/sboms-still-more-mandate-than-security
- : має
- :є
- : ні
- $UP
- 1
- 2017
- 2021
- 2022
- 2025
- 95%
- a
- Здатний
- МЕНЮ
- За
- рахунки
- через
- дії
- додавати
- доповнення
- адміністрація
- прийнята
- пропаганда
- назад
- Aid
- ВСІ
- Також
- an
- аналіз
- аналітик
- та
- оголошений
- Оголошення
- відповідь
- будь-який
- додаток
- захист додатків
- застосування
- ЕСТЬ
- ПЛОЩА
- навколо
- AS
- At
- автоматизувати
- Автоматизація
- доступний
- обізнаність
- назад
- бар
- заснований
- В основному
- BE
- оскільки
- ставати
- почалася
- Переваги
- Краще
- між
- За
- біден
- Адміністрація Байдена
- Білл
- Банкноти
- Black
- сліпий
- обидва
- Box
- будувати
- але
- покупців
- by
- CAN
- здатний
- Генеральний директор
- ланцюг
- виклик
- Зміни
- майбутній
- Компанії
- компанія
- порівняний
- компонент
- Компоненти
- Споживачі
- триває
- підрядники
- контроль
- управління
- може
- курс
- створювати
- створений
- Поточний
- В даний час
- Кібербезпека
- темно
- Темне читання
- дані
- Обмін даними
- керовані даними
- десятиліття
- рішення
- Ступінь
- Виявлення
- Визначати
- розвивати
- розвиненою
- Розробник
- розробників
- розвивається
- розробка
- інструменти розробки
- пристрій
- прилади
- різний
- безпосередньо
- розкриття
- відкритий
- do
- документ
- документований
- документування
- під час
- Рано
- легко
- кінець
- Навколишнє середовище
- середовищах
- особливо
- Ефір (ETH)
- евентуально
- врешті-решт
- еволюція
- приклад
- обмін
- виконавчий
- розпорядження
- розширюється
- очікуваний
- подвигів
- ШВИДКО
- швидше
- Федеральний
- в кінці кінців
- міжмережеві екрани
- Фірма
- Сфокусувати
- після
- для
- знайдений
- фонд
- від
- Повний
- отримати
- отримання
- Давати
- даний
- Go
- мета
- добре
- Уряд
- великий
- Половина
- Мати
- має
- he
- голова
- чути
- допомога
- хіт
- сподіваючись
- Як
- Однак
- HTTPS
- величезний
- Ідентифікація
- ідентифікувати
- if
- здійснювати
- важливо
- неможливе
- удосконалювати
- in
- Стимул
- включені
- includes
- зростаючий
- все більше і більше
- побічно
- промисловість
- інформація
- повідомив
- інновація
- негайно
- Міжнародне покриття
- в
- виявлення вторгнень
- інвентаризація
- КАТО
- ISO
- питання
- Випущений
- IT
- ЙОГО
- Джеймі
- JPG
- червень
- просто
- тримати
- відомий
- Labs
- відсутність
- великий
- провідний
- УЧИТЬСЯ
- вивчення
- менше
- Важіль
- ліцензія
- ліцензії
- ліцензування
- Ймовірно
- Linux
- основи linux
- списки
- трохи
- ll
- log4j
- Log4Shell
- низький
- машина
- навчання за допомогою машини
- Більшість
- зробити
- Робить
- вдалося
- управління
- менеджер
- Мандат
- мандатів
- Виробники
- багато
- ринок
- дослідження ринку
- Матеріали
- Може..
- вимір
- заходи
- засідання
- мінімальний
- ML
- Моделі
- Модулі
- момент
- Імпульс
- Чорногорія
- більше
- найбільш
- майже
- Нові
- нещодавно
- nist
- зараз
- номер
- of
- часто
- Омдія
- on
- один раз
- ONE
- відкрити
- з відкритим вихідним кодом
- or
- порядок
- організація
- організації
- з
- план
- над
- власний
- алюр
- пакет
- частина
- приватність
- Люди
- місце
- plato
- Інформація про дані Платона
- PlatoData
- можливо
- потенціал
- практика
- представити
- президент
- первинний
- Головний
- Пріоритетність
- процес
- придбання
- виробляти
- виробництво
- Product
- Інновації продукту
- менеджер по продукції
- Продукти
- професіонали
- проект
- забезпечувати
- за умови
- провайдери
- якість
- питання
- RE
- реакції
- читання
- визнає
- правила
- Регулятори
- вимагати
- вимагається
- Вимога
- дослідження
- відповіді
- результат
- призвело до
- Risk
- управління ризиками
- ризики
- біг
- порив
- s
- говорить
- сфера
- Скотт
- безпечний
- безпеку
- тестування безпеки
- побачити
- здається
- старший
- Послуги
- комплект
- Повинен
- істотно
- просто
- So
- Софтвер
- Розробники ПЗ
- розробка програмного забезпечення
- десь
- Source
- конкретно
- стек
- етапи
- standard
- стандартів
- старт
- Стівен
- Як і раніше
- поставка
- ланцюжка поставок
- Опори
- Systems
- націлювання
- команда
- Тестування
- ніж
- Дякую
- Що
- Команда
- їх
- Їх
- Там.
- Ці
- вони
- думати
- третя сторона
- це
- ті
- три
- по всьому
- час
- до
- сьогодні
- занадто
- інструмент
- інструменти
- ТОТАЛЬНО
- трек
- трафік
- розуміти
- us
- нас уряд
- використання
- використовуваний
- користувачі
- використання
- використовує
- різноманітність
- різний
- постачальники
- віце
- Віцепрезидент
- видимість
- Уразливості
- вразливість
- Вразливий
- хотіти
- було
- шлях..
- we
- ДОБРЕ
- були
- Що
- Що таке
- Чи
- який
- чому
- широко поширений
- Wild
- волі
- з
- в
- без
- Work
- світовий
- ви
- вашу
- зефірнет