Şirketler bu yıl iki büyük gerçekle karşı karşıya: Daha fazla siber güvenlik düzenlemesi ve daha az kaynak.
İlki için, zamanı geldi. Siber güvenliğin temel gereksinimlere ihtiyacı var ve hükümet düzenlemeleri yararlı bir zorlama işlevi olabilir. Özellikle yazılım tedarik zinciri güvenliği olmak üzere gerçekten dikkat edilmesi gereken alanlara yeniden odaklanıldığını görmek cesaret verici. İkincisi göz önüne alındığında, bunun anlamı şirketler ileride dik bir tırmanışla karşı karşıya bu yeni düzenlemeleri ekonomik belirsizliğin olduğu bir yılda uygulamak. Bununla birlikte, düzenlemeler burada, daha fazla düzenleme geliyor ve şirketlerin uyum sağlaması gerekiyor.
İçinde yeni bir makaleStandart olarak yazılım malzeme listesi (SBOM) formatıyla ilgili birkaç konuyu ele aldım ve şunları içerir:
- Gereksinimler ve isteğe bağlı alanlar
- Tamamen kaynak eksikliği değerlendirmesi
Ancak bu yıl en büyük engel evlat edinme olacak.
Yazılım Satıcısı Benimseme Sorunu
ACMECorp, yazılım ürünleri üreten bir şirket örneğidir. Ürünlerinden birine “Örs” ve müşterilerinden “Müşteriler” olarak bahsedeceğiz.
Müşteriler, yazılım tedarik zinciri sorunlarından, güvenlik açıklarından veya lisans risklerinden etkilenip etkilenmediklerini anlayabilmeleri için ACMECorp’un Anvil için SBOM’larını yayınlamasını istiyor. Müşteriler ayrıca yeni sorunlar ortaya çıktıkça etkilenip etkilenmediklerini hızlı bir şekilde anlamak isterler.
Düzenleyici kurumlar, Müşterilerin daha iyi bilgilendirilebilmesi için ACMECorp’tan SBOM’ları serbest bırakmasını zorunlu kılmak istiyor. ACMECorp çok iyi olabilir istek bu bilgileri Müşterilere de sağlamak, ancak bu çok büyük bir taahhüt.
Tüm yazılım ürünleri için ACMECorp’un artık şunları yapması gerekecek:
- Bağımlılık olarak kullanılan tüm yazılım bileşenlerini tanımlayın. Bu, en az onlarca ve en fazla onbinlerce bireysel yazılım bileşenidir.
- Hepsini tanımla potansiyel güvenlik sorunları. Bu, bir ürünün ve tüm bağımlılıklarının güvenlik denetimini içerir.
- Her bir potansiyel güvenlik sorununu araştırın ve ACMECorp’un “bunu şimdi düzeltmemiz gerekiyor” ile “uygulanamaz” arasında değişen yanıtını belirleyin. Bu işi yapmakla görevli yazılım güvenlik ekibinin ortaya çıkan analizi, maruz kalma ve riski belirlemek için kaçınılmaz olarak avukatlardan oluşan ekipler arasında dolaşacaktır. Bu çok önemlidir, çünkü ACMECorp bu bilgilere şu amaçlarla ihtiyaç duyacaktır:
- Geliştirilen yanıtlara Müşterilerden gelen kaçınılmaz sorular ve zorluklarla başa çıkmak için yeni bir departman oluşturun.
- Fikri mülkiyeti korumak ve maruz kalmayı sınırlamak için SBOM’ları mümkün olduğunca az ayrıntıyla Müşterilere bırakın.
- Tüm süreci, yayınlanan her sürüm için sürekli olarak yeniden yapın ve geçmiş kayıtları tutun.
Bu ağır bir yük, ancak ACMECorp’un, Müşterilerin kabul etmesini beklediği yukarıdaki versiyonuna (veya en azından bir başlangıcına) sahip olması gerekecek.
İstemci Benimseme Sorunu
Anvil’in SBOM’unu (ve yüzlerce veya binlerce başka SBOM’u) kullanmak isteyen müşteriler artık herhangi bir teknolojiyi benimsemek için çok büyük bir ek iş yüküne sahip.
Şirketlerin zaten bir güvenlik açığı yönetimi sorunu var ve bu yükü katlayacak. SBOM bir kendi kendini raporlama mekanizması olduğundan, Müşteriler, yetkili bir hakikat kaynağı olarak bir SBOM’ye basitçe güvenme eğiliminde olmayacaklardır. Bunun yerine, her sürümden sonra ACMECorp’un SBOM’larını doğrulamanın yollarını bulmak için zaten aşırı yüklenmiş uygulama, ürün güvenliği ve hukuk ekiplerine ihtiyaç duyacaklar.
Daha İyisini Hedefleyelim
SBOM’ların hedefleri konusunda iyimserim. Bir yazılım ürününde kullanılan bileşenlerin eksiksiz, güncel bir envanterine sahip olmalıyız. Güvenlik olaylarının ve sorunlarının sonuçlarını ve bunların şirketleri, hükümetleri ve kullanıcıları nasıl etkilediğini anlamalıyız. Umudum, mevcut SBOM yinelemesinden çok daha iyi bir süreç oluşturmak için birlikte çalışabilmemizdir.
İlk olarak, verileri satıcıdan müşteriye basitçe paylaşmanın SBOM’un ele almayı umduğu zorlukları çözeceği fikrinden kendimizi kurtarmalıyız. Yukarıda ana hatlarıyla belirttiğim gibi, yalnızca ek çalışma yapılması garanti edilir. Bunun yerine nasıl paylaşabileceğimizi düşünmeliyiz. sertifikalar yazılım tedarik zinciri verileri üzerinde.
Satıcılar, müşterilerine ürünlerinin güvenlik durumunun iyi korunduğunu göstermek istiyor. Müşteriler, üçüncü şahıs ürün ve hizmetlerinin güvenlik duruşunun kendi tehdit modellerine ve risk toleranslarına uygun olduğundan emin olmak isterler. Bu hedeflere, yazılım tedarik zinciri verilerinin yorumlanması ve hedeflerle ilgili soruların yanıtlanmasıyla ulaşılır. Verilerin etrafındaki bağlam, bu sonuçların anahtarıdır.
Satıcıların ve müşterilerin yanıtlamayı umdukları güvenlik hedeflerinin büyük bir kısmı kodlanabilir, ardından satıcıdan tüketiciye ilişkiler tarafından üzerinde anlaşmaya varılabilecek politikalara dönüştürülebilir. Bu politikalar için testler veya onaylar, hem güvenlik hem de geliştirme endüstrilerinin işbirliğiyle açık kaynak olabilir. Bu, tasdiklerin değerinin ve geliştirilebilecek zayıflıklarının açık bir şekilde anlaşılmasını sağlayacaktır. Yazılım tedarik zinciri riskini yorumlamak için bize ortak bir çerçeve sağlayabilir.
İlke biçimindeki tasdik grupları, satıcılar son durum gereksinimlerini planlamak için yazılım geliştirirken hızla test edilebilir. Müşteriler bunu, bir satıcının ürününün yazılım tedarik zinciri riskini hızla anlamak için kullanabilir. Bu, müşterinin ihtiyaçlarını daha iyi karşılamak için kontrollü bir ortamda barındırılan şirket içi bir sürümü veya sözleşme gerekliliklerini seçmek anlamına gelebilir, ancak satıcılara ve müşterilere birbirleriyle daha iyi uyum sağlamak için ortak bir sınıflandırma sağlar.
Tasdikler ve politikalar, satıcıların ürün ve yazılım geliştirme yaşam döngüsü boyunca yönetebilecekleri bir şekilde uyumluluk direktiflerini etkili bir şekilde oluşturmamıza olanak tanır. Tasdiklerdeki değişiklikler, bireysel sorunları koordine etmek için toplantı yığınları olmadan planlanabilir ve yol haritası çizilebilir. Bu uyumluluk direktifleri, düzenleyici etkiyi anlamak için hızla değerlendirilebilir. zaten ufukta olmayı biliyoruz. Bu tasdikler, girdi olarak sağlanan satıcı verilerinin şeffaflığını ve kaynağını gösterecek şekilde genişletilebilir. Genel olarak, bu bize güven inşa etmek için gerekli ortak zemini sağlar.
Nihayet devasa bir bu sürecin bir kısmı otomatikleştirilebilir. Hiç bitmeyen bir SBOM veri dökümü akışı hazırlamak ve tüketmek yerine, güvenlik ve geliştirme ekiplerimizin zamanını ihtiyaç duyulan yere çok daha etkili bir şekilde odaklayabiliriz.
SBOM yılına şerefe. Hepimiz bu işte birlikteyiz.