IBM, Open Worldwide Application Security Project (OWASP) Foundation’ın CycloneDX Software Bill of Materials (SBOM) standardına iki açık kaynak tedarik zinciri aracı — SBOM Utility ve License Scanner — katkıda bulunmuştur. Bu iki araç, OWASP’nin gelişmiş tedarik zinciri risk azaltma sağlayan “tam yığın” bir BOM standardı olarak tanımladığı CycloneDX’teki iki önemli boşluğu dolduracaktır.
Yazılım malzeme listesi veya SBOM, yazılımda kullanılan tüm ayrı bileşenleri listeleyen bir envanterdir. İki yıl önce Log4j kitaplığındaki güvenlik açığının keşfedilmesi, ne kadar az kuruluşun çalıştırdıkları yazılımın içinde ne olduğunu gerçekten anladığını gösterdi. Hangi üçüncü taraf bileşenlerin, kitaplıkların ve çerçevelerin kullanıldığını bilmek yeterli değildi — kuruluşların tüm bağımlılıkların farkında olması gerekir onlar bileşenler kullanıyordu. Çeşitli tedarik zinciri saldırılarına ve Log4j kaosuna yanıt olarak Beyaz Saray, geliştiricilerin tedarik zincirlerinin güvenliğini iyileştirmelerini zorunlu kılan bir Başkanlık Kararnamesi yayınladı. Bunun bir yolu, dağıttıkları her yazılım parçası için bir SBOM eklemek ve sürdürmektir.
IBM’in sistem stratejisi ve geliştirmeden sorumlu genel müdürü Jamie Thomas, “IBM, modern yazılımlar oluşturan tüm geliştiricilerin ve kuruluşların SBOM’ler oluşturma yolculuklarına başlamalarını savunuyor,” diyor. “Bu araçlar, yazılım tedarik zincirlerindeki potansiyel riskleri daha iyi anlayabilmeleri için bu yolculukta geliştiricilere yardımcı olacak temel tamamlayıcılardır.”
SBOM’ları standartlaştırma
SBOM’yi standartlaştırma çabaları, son iki yılda yazılım tedarik zinciri saldırılarındaki keskin artışla birlikte hızlandı.
CycloneDX iki temel SBOM standardından biridir, diğeri ise Linux Foundation’ın Yazılım Paketi Veri Alışverişidir (SPDX). Daha yeni olan CycloneDX’in savunucuları, onu bilgi alışverişinde bulunmak için makine tarafından okunabilir bir yol arayanlar için daha uygun, daha hafif bir standart olarak tanımlıyor. 2021’de Linux Vakfı, SPDX’i bir SBOM standardı ilan etti, ancak başlangıçta fikri mülkiyet ve lisanslama kullanım durumları için oluşturulmuştu. Her iki kuruluş da ilgili SBOM standartları çabalarını genişletiyor.
ServiceNow’da ürün güvenliği direktörü ve OWASP’ın CycloneDX çalışma grubu başkanı Steve Springett, Dark Reading’e IBM’in CycloneDX’in standartlar çabalarını ilerletmede aktif olarak katıldığını söyledi. Springett, “Yazılım tedarik zinciri güvenliği, yönetim kurulu düzeyindeki tartışmaların bir konusudur” diyor. “Kuruluşların yazılım tedarik zinciri güvencesini iyileştirmesi gereken birçok yol var. Ve bu, daha fazla istihbarat sağlamak için tüm verilere ve daha fazla araca fiilen sahip olmakla başlar.”
Lisans Tarayıcı Aracı SPDX ile Denge Getiriyor
CycloneDX çalışma grubu, yıllar içinde, SPDX lisans kimlikleri için temel düzey destek de dahil olmak üzere, bazı lisans tarama yeteneklerini kullanıma sunmuştur. Ancak CycloneDX’in lisanslama yeteneği, SPDX’in işlevselliğini geride bıraktı. Springett, IBM’in Lisans Tarayıcısının eklenmesinin bu boşluğu doldurduğunu söylüyor. Springett, Dark Reading’e “Projenin bir parçası olarak bir lisans tarayıcımızın olması harika,” dedi. “Özel bir lisans aracına sahip olmak aslında daha fazla insanı oluşturduğumuz Cyclone DX tablosuna davet edecektir.”
AppSec araç sağlayıcısı Sonatype’ın kurucu ortağı ve CTO’su Brian Fox da aynı fikirde. Fox, “Bunun lisanslama tarafında CycloneDX ile işleri dengelemeye yardımcı olduğunu düşünüyorum” dedi. “Ekosistemdeki araçların daha iyi çalışmasını sağlamak için daha fazla yapı taşı sağlayacaktır. Lisanslı verileri CycloneDX SBOM’nize daha kolay ekleyebilmek, eğer bunu yapacak mevcut araçlarınız yoksa, yararlı bir yardımcı programdır. Yeteneğe sahip olmak her iki formatı da doğrulamak için yararlı bir yardımcı programdır.”
Çarşamba günü IBM’in katkısını duyuran bir OWASP blog gönderisinde Springett, IBM’in Lisans Tarayıcısının lisanslar ve yasal koşullar için dosyaları taradığını belirtti. “Yayınlanmış eksiksiz SPDX Lisans Listesinden metin eşleştirme lisanslarını ve lisans istisnalarını belirlemeye yardımcı olmak için kullanılabilir” diye yazdı. “Ayrıca ek yasal terimleri, anahtar sözcükleri, takma adları ve SPDX olmayan lisansları tanımlayacak şekilde yapılandırılabilir. Bir kitaplık olarak, License Scanner mevcut BOM oluşturma yazılımına entegre edilmek üzere tasarlanmıştır veya kendi başına bir komut satırı yardımcı programı olarak kullanılabilir. .”
SBOM Yardımcı Programı, CycloneDX’e API’ler Ekler
Springett, IBM’in SBOM Yardımcı Programını, yayınlanan şemalarıyla CycloneDX veya SPDX biçimli Malzeme Listelerini doğrulayabilen bir API platformu olarak tanımladı. Donanım (HBOM’lar) ve SaaS (SaaSBOM’ler) dahil olmak üzere çeşitli BOM türlerini doğrulayabilir ve analiz edebilir. Springett, gelecekte SBOM Utility’nin OWASP’nin “yazılım tedarik zincirindeki risklerin belirlenmesine ve azaltılmasına yardımcı olmak için bir BOM Olgunluk Modeli (BMM) tanımlayan” Yazılım Bileşeni Doğrulama Standardını (SCVS) destekleyeceğini belirtti.
Ayrıca, SBOM Yardımcı Programının, CycloneDX’in risk değerlendirmesi sağladığını belirttiği Güvenlik Açığı İfşa Raporları (VDR’ler) ve Güvenlik Açığı İstismar Değişimi (VEX) veri formatları gibi belgeleri işleyebileceğini kaydetti.
Springett, “SBOM Yardımcı Programı harika çünkü bir API yaklaşımı alıyor ve kuruluşların CycloneDX veri modelini ve içindeki tüm verileri dilimlemesine ve parçalara ayırmasına izin veriyor” diyor. “Malzeme listesinin belirli yönleriyle ilgileniyorsanız, bunu hızlı bir şekilde sorgulayabilirsiniz, bu harika. Ardından, kuruluşların bu malzeme listesinde bulunabilecek veya bulunmayabilecek veri türlerine göre politika oluşturmaya başlamasına izin verebilirsiniz. .”
IBM başlangıçta SBOM Utility ve License Scanner’ı kendi kullanımı için oluşturmuş olsa da, şirket ticari sürümler yayınlamayı planlayıp planlamadığını açıklamadı.