Yazılım Malzeme Yasası (SBOM), Standartlar, Düzenlemeler ve Uyumluluk
ABD Siber Savunma Ajansı, SBOMS’ta otomasyon ve makine tarafından okunabilen verileri zorluyor
Chris Riotta (@Chrisriotta) •
22 Ağustos 2025
ABD Siber Savunma Ajansı bir kez daha yazılım faturalarını gerçekleştirmeye çalışıyor-bu sefer makine tarafından okunabilen şeffaflığı iki katına çıkaran ve SBOM’ların gerçek dünya uygulaması için gerçekte neleri içermesi gerektiğini genişleten yeni bir çerçeveyle.
Güncellenmiş asgari unsur rehberliğinin amacı, yakın zamana kadar CISA’nın SBOM çabalarına öncülük eden ve şimdi tedarik zinciri güvenliği konusunda kuruluşlara tavsiyede bulunan Allan Friedman, “bir SBOM’un temelleri hakkında ortak bir beklentiyi teşvik etmek” ve beklenen veri kalitesinin eşiğini yükseltmektir. Friedman, Bilgi Güvenliği Medya Grubuna SBOM verilerinin, şirketlerin tedarikçilerinin kendi yazılımlarını anladıklarını ve güvenlik ekiplerine yardımcı olduklarını onaylamalarına yardımcı olduğunu söyledi, ancak bugün birkaç araç SBOM’ları ve diğer meta verileri bir kuruluş genelinde yönetebilir, ancak müşteriler SBOM’ları ürün güvenliği olgunluğu için bir turnusol testi olarak kullansa bile.
Friedman, “SBOM’un her zaman bir tavuk ve yumurta sorunu vardı.” Dedi. SBOM üretim teknolojisi olgunlaşırken, endüstri hala bu verileri eyleme geçirilebilir zekaya dönüştürmek için araçları yakaladığını söyledi. Yeni rehberlik “uygulamalar arasında daha fazla uyumlaştırmayı desteklemeli” ve SBOM verilerinin otomatik güvenlik iş akışlarına daha geniş bir şekilde entegrasyonunu sağlamalıdır.
Analistler, SBOM’ların sertifika yaşam döngüsü yönetimi, kod imzalama ve diğer dijital güven katmanlarıyla eşleştirildiğinde en etkili olduğunu söyledi.
Ancak kusurlar kısmen kalır, çünkü SBOM’lar görünürlük sunarken, içerik hala yazılım yaratıcısı tarafından kontrol edilir. Tedarikçiler, “sterilize edilmiş” bir SBOM imzalamadan ve dağıtmadan önce belirli bağımlılıkları ortadan kaldırabilir ve tüketicileri kodda ne olduğunu tam bir açıklama görüp görmediklerini belirsiz bırakabilir.
Uzmanlar, taslağın önemli boşluklar bıraktığını ve tek başına SBOM’ların güvenlik açığı veritabanlarıyla çapraz referans için süreçleri desteklemeden güvenlik riskinin tam bir resmini sağlayamayacağı konusunda uyardı. Analistler, karmalar özgünlüğü iyileştirirken, SBOM’ların hala daha iyi standardizasyona, güvenlik açığı araçlarıyla daha sıkı entegrasyona ve ölçeklendirmek için otomasyona ihtiyaç duyduğunu – özellikle de gerçek zamanlı siber güvenlik operasyonlarının güvenilir bir parçası olacaksa.
Halk, federal sicilden 3 Ekim’e kadar taslak rehberlik hakkında geri bildirim sağlayabilir. CISA Siber Güvenlik Yönetici Yardımcısı Chris Butera, bir basın açıklamasında rehberliğin “federal ajansları ve diğer kuruluşları risk bilgilendirilmiş kararlar almaları, siber güvenlik duruşlarını güçlendirmelerini ve ölçeklenebilir, makine tarafından okunabilen çözümleri destekleyeceklerini” söyledi.