Devlet, Sektöre Özel, Yazılım Malzeme Listesi (SBOM)
ABD Siber Ajansı, Yazılım Malzeme Listeleri Oluşturmak İçin Adım Adım Kılavuz Yayımladı
Chris Riotta (@chrisriotta) •
26 Ocak 2024
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, yazılım üreticilerinin, tedarik zinciri güvenliğini iyileştirme çabasının bir parçası olarak yazılım malzeme listeleri oluşturmak için bir dizi adım adım talimatı izlemesi gerektiğini söylüyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Siber savunma ajansı Cuma günü, bir araya getirilmiş bir ürün grubu için bir SBOM oluşturmaya ilişkin kılavuz yayınladı.
Kılavuz, yazılım tedarik zincirlerinde etkili risk azaltma stratejilerini destekleyen kritik envanter listeleri olan SBOM’ların oluşturulmasına yönelik teknik gereksinimleri içerir. CISA ayrıca yazılım üreticilerinin daha fazla şeffaflık sağlamak için, uygun olduğunda ürün bileşenleri için mevcut tanımlayıcıların sağlanması ve çeşitli yazılım bileşenleriyle ilişkili herhangi bir yapıtın hash’inin dahil edilmesi gibi ek önlemler içermesini de tavsiye etti.
Beyaz Saray’ın 2021 tarihli idari emri, kurumların yazılım geliştirirken veya tedarik ederken SBOM’ları uygulamasını gerektiriyor. Genellikle gıda ürünlerine yönelik içerik listeleriyle karşılaştırıldığında SBOM’lar, bir yazılım ürününün bileşenleri, bağımlılıkları ve üçüncü taraf kitaplıkları hakkında bilgi sağlar (bkz: Uzmanlar Kongre’den Açık SBOM Rehberi Oluşturmasını İstiyor).
CISA, birçok kurumun yazılım üreticileriyle yapılan federal bilgi teknolojisi sözleşmelerindeki envanter listelerini oluşturmak ve bunlardan yararlanmak için çabalamasına rağmen, federal hükümet genelinde yazılım güvenliği ve tedarik zinciri risk yönetiminin önemli bir bileşeni olarak SBOM’ları uygulamak için yıllardır çalışıyor. Ajans, 2023’te yazılım ve güvenlik topluluklarının SBOM’ların önemini anlamalarına ve SBOM’lar üzerinde topluluk liderliğindeki çalışmalara ilişkin daha fazla bilgi edinmelerine yardımcı olmak için tasarlanmış bir SBOM-a-rama etkinliği başlattı.
Ajans, nisan ayında, kamu ve özel sektöre, yazılım üreticileri ve tüketiciler arasında daha fazla şeffaflık ve bilgi paylaşımı sağlamaya yardımcı olacak çözümler seçmede yardımcı olmak amacıyla SBOM paylaşım yaşam döngüsünün farklı aşamalarını detaylandıran bir rapor yayınladı.
CISA Cuma günkü rehberinde, bir ürün grubu için SBOM yaratıcısının beş adımı izlemesi gerektiğini söyledi:
- Kullanılacak bir tanımlayıcı belirleyin.
- Bu tanımlayıcıyla kullanılacak bir sürüm oluşturma sistemi belirleyin.
- Grup halinde birlikte dağıtılan tüm ürün bileşenlerini listeleyin.
- Her bileşen için bir sürüm numarası sağlayın.
- PLB-SBOM’un parçası olarak ürün grubunda yer alan her bileşen görüntüsünü oluşturan yapı SBOM’una bir referans sağlayın.