Yazılım Malzeme Listesi (SBOM), Standartlar, Düzenlemeler ve Uyumluluk
Birçok Kuruluş Yeterli SBOM Tüketim Süreçlerini Geliştirmek İçin Kaynaklardan Yoksundur
Chris Riotta (@chrisriotta) •
10 Kasım 2023
Sektör uzmanları, yazılım malzeme listelerine yönelik bir tüketim sürecini etkili bir şekilde geliştirmek ve ölçeklendirmek için gereken belirli bileşenlerin eksikliğini öne sürerek, birçok kuruluşun ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın yeni yazılım güvenliği kılavuzunu uygulamakta zorlanacağını söylüyor.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Siber savunma kurumu Perşembe günü yazılım satıcıları ve tedarikçileri için tedarik zincirinin güvenliğini sağlamaya ve SBOM tüketimini artırmaya yardımcı olmak için önerilen uygulamaları yayınladı; bu, kuruluşların sistemlerindeki yazılım bileşenlerini tanımlayarak güvenlik açıklarını azaltmalarına olanak tanıyor. CISA’nın NSA ve Ulusal İstihbarat Direktörlüğü Ofisi ile birlikte yayınladığı kılavuz, yazılım güncellendiğinde ek SBOM’ların alınmasından SBOM’lar aracılığıyla keşfedilen güvenlik açıklarıyla ilişkili risklerin değerlendirilmesine kadar SBOM oluşturma ve tüketim süreçlerini geliştirmeye yönelik en iyi uygulamaları içerir.
CISA, NSA ve ODNI, yeterli SBOM tüketim programlarının kaynaklara yatırım yapılmasını ve otomatik araç ve süreçlerin kapsamlı kullanımını gerektireceğini kılavuz boyunca kabul etmiştir. Uygulama güvenliği firması Mend.io’nun ürün başkan yardımcısı Jeff Martin’e göre bu, yazılım güvenliğini geliştirmek isteyen kuruluşlar için “büyük bir engel” oluşturuyor.
Martin, Bilgi Güvenliği Medya Grubu’na, kılavuzun kuruluşlara SBOM operasyonları için “en geniş özellikler dışında” doğru değerlendirme listelerini seçme konusunda “çok az yardım” sağladığını söyledi.
“Etkili, ölçekli bir SBOM üretim veya tüketim sürecine sahip olmak isteyen herhangi bir şirketin, önemli ölçüde daha fazla araştırma ve çözüm değerlendirmesi yapması gerekecektir” dedi.
Martin, yeni kılavuzun, kuruluşların yazılım bileşenleriyle ilişkili potansiyel güvenlik risklerini kapsamlı bir şekilde anlamalarına yardımcı olmak için SBOM risk puanlarına dahil edilebilecek bazı unsurları listelediğini, ancak “geliştirilmesi gerektiğini söylemek dışında” bir standardı onaylamadığını söyledi. “
CISA daha önce 2022’de yazılım geliştiriciler, satıcılar ve tüketiciler için yazılım tedarik zincirinin güvenliğini sağlamaya yönelik üç bölümlük bir kılavuz serisi yayınlamıştı. Ajans ayrıca yıllar boyunca kamu ve özel sektör kuruluşlarına yönelik bir dizi etkinlik, rapor ve kaynak aracılığıyla SBOM’ların güvenlik operasyonlarındaki önemini de destekledi.
Lexmark’ın bilgi güvenliği şefi Bryan Willett, birçok kuruluşun SBOM’ları yönetmek için gerekli araçlara sahip olmadığını söyleyen SBOM tüketiminin yine de “büyük bir zorluk” olmaya devam ettiğini söyledi.
ISMG’ye konuşan Willett, “Zorluk şu: SBOM tek başına devasa bir ek iş katmanı yaratıyor” dedi ve yeterli süreçlerin özel personel ve olgun bir konfigürasyon yönetimi ve varlık veritabanı gerektirdiğini ekledi.
Kılavuz, bir SBOM’un temel amacının “bileşenleri ve bunların birbirleriyle olan ilişkilerini tanımlamak” olduğunu belirtiyor ve ürün sürüm numaraları ve bağımlılık tanımlayıcıları dahil olmak üzere belirli temel bileşen bilgilerinin doğru değerlendirmeler için çok önemli olduğunu vurguluyor. Belge, SBOM ekosistemi olgunlaştıkça en iyi uygulamaların ve gereksinimlerin muhtemelen gelişeceğini kabul ediyor.
Elastic güvenlik firmasının siber çözümlerden sorumlu bölgesel başkan yardımcısı John Harmon, “SBOM sadece bir başlangıç noktası. Bu bir oyunun sonu değil” dedi. “Bir güvenlik açığı ortaya çıktığında, daha hızlı veya gelecekte otomatik olarak harekete geçebilecek istihbarata sahip olduğumuzu anlamak için gereken bir katmandır.”