Bu ses otomatik olarak oluşturulur. Geri bildiriminiz varsa lütfen bize bildirin.
Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), ajansın yazılım pazarında şeffaflığı teşvik etme kampanyasının son adımı olan bir Yazılım Malzeme Yasası’nın (SBOM) minimum özellikleri için önerilerini güncelledi.
CISA, “Bu belgede yer alan güncellemeler ve eklemeler, federal devlet kurumlarını ve diğer SBOM tüketicilerini bir dizi kullanım durumunu ele almak, üretim sürecini anlamak ve veri kalitesini iyileştirmek için daha iyi konumlandıracaktır” dedi. Yeni YayınPerşembe günü piyasaya sürüldü.
Birçok kuruluş siber saldırılara karşı savunmasızdır, çünkü kodun karmaşıklığı nedeniyle farkında olmadıkları kusurlarla yazılım kullanırlar. Bazı siber uzmanlar SBOM’ları yazılım içeriğini aydınlatmak ve kullanıcıların güvenlik açıklarını ele almalarına yardımcı olmak için önemli bir araç olarak görüyor. Makine tarafından okunabilen SBOM’lar, savunmasız yazılım bileşenleri hakkında uyarılar gibi rehberlik üretmek için hükümet tehdit uyarıları da dahil olmak üzere diğer veri kaynakları ile birleştirilebilir.
CISA’nın SBOM’lara odaklanması, Biden yönetiminden bir süreklilik alanını temsil ediyor ve bu da açılıyor Ajansın SBOM savunuculuğu Siber güvenlik topluluğu ve yazılım endüstrisi boyunca.
Yeni SBOM REC’ler
CISA rehberliğinde büyük güncellemeler SBOM veri alanlarını, SBOM’un beklenen kapsamlılığı, bilinen bilinmeyen bağımlılıkları ve modası geçmiş kayıtların güncellenmesinin önemini belirleme ihtiyacı. Belgedeki yeni materyaller, yazılıma eşlik eden lisans, SBOM’u oluşturmak için kullanılan aracın adı ve yazılımın kriptografik karma gibi birkaç SBOM veri alanı içerir. Gözden geçirilmiş sürüm ayrıca SBOM Access kontrollerine adanmış bir bölümü ortadan kaldırır ve mevcut dağıtım önerilerine dahil eder.
Yayın, ki Halka açık yorum için açık 3 Ekim’e kadar, öncelikle devlet kurumlarına yöneliktir, ancak diğer kuruluşların satıcılarının SBOM’larından ne bekleyeceklerini anlamalarına yardımcı olmak için tasarlanmıştır.
Belgedeki değişiklikler, ilk olarak yayınlanan Ulusal Telekomünikasyon ve Bilgi İdaresi’nden bu yana SBOM ekosistemindeki büyümeyi yansıtıyor SBOM minimum öğeleri CISA, kamuoyu bildiriminde, önemli gelişmelerin birkaçını listeledi: SBOM Araçları, paylaşım ve analizi kapsayacak şekilde yaratılışın ötesine geçti, daha fazla endüstri SBOM tasarımı ve kullanımıyla ilgili konuşmalara katıldı, açık kaynak geliştiricileri hareketi hızlandırdı ve uzmanlar araç için yeni kullanımlar belirledi.
Cisa, “yazılım kullanıcılarına yazılım tedarik zincirlerini aydınlatmaları, risk yönetimi süreçlerini daha iyi bilgilendirmeleri ve yazılım güvenlik kararlarını yönlendirmeleri için SBOM’ları tanıtmaya devam edeceğini söyledi.