Protobom, sistem yöneticileri ve yazılım geliştirme toplulukları da dahil olmak üzere tüm kuruluşların Yazılım Malzeme Listelerini (SBOM’lar) okumasına ve oluşturmasına, verileri dosyalamasına ve bu verileri standart endüstri SBOM formatlarına çevirmesine olanak tanıyan açık kaynaklı bir yazılım tedarik zinciri aracıdır.
“Protobom projesi, CISA ve DHS S&T’nin bir SBOM dönüştürme aracı yaratma projesinden doğdu. Kullanım durumları göz önüne alındığında, SBOM uygulamalarının dönüşümün ötesinde malzeme listelerini okuyup yazması gerektiği ortaya çıktı. Bu bizi tüm SBOM verilerini yakalayabilen tarafsız bir temsilin tasarımına götürdü. Bu ara temsil, Protobom’un özüdür,” dedi proje sorumlusu Adolfo Garcia Veytia Help Net Security’ye.
Yazılım Malzeme Listesi
Yazılım güvenliğini ve yazılım tedarik zinciri risk yönetimini güçlendirmenin anahtarı, yazılım oluşturmada kullanılan çeşitli açık kaynaklı ve ticari bileşenlerin tedarik zinciri ilişkileri de dahil olmak üzere yazılımın bileşenlerini listeleyen, iç içe geçmiş, biçimlendirilmiş bir envanter olan bir SBOM’dur.
Yazılım tedarik zincirini anlamak, bir SBOM edinmek ve bunu bilinen güvenlik açıklarını analiz etmek için kullanmak, siber güvenlik riskini yönetmek için çok önemlidir.
Birden fazla SBOM veri formatı ve tanımlama şemasının mevcut olması, SBOM kullanımını benimsemek isteyen kuruluşlar için işleri zorlaştırmaktadır. Protobom, uygulamaların herhangi bir SBOM ile sorunsuz bir şekilde çalışmasına olanak tanıyan standartların üzerinde formattan bağımsız bir veri katmanı sunarak bu sorunu hafifletmeyi amaçlıyor.
Protobom
Protobom, SBOM’un benimsenmesini teşvik edecek ve SBOM oluşturma ve tüketimini daha kolay ve daha ucuz hale getirecek şekilde hem ticari hem de açık kaynaklı uygulamalara entegre edilebilir. Protobom araçları, çeşitli veri formatlarındaki SBOM’lara erişebilir, bunları okuyabilir ve çevirebilir, böylece kesintisiz birlikte çalışabilirlik sağlar.
Protobom’u, SBOM bilgilerini güvenilir kaynaklardan gelen güvenlik açıklarının harici kayıtlarına ve önem derecesine ilişkin bilgilere bağlayan uygulamalara entegre ederek uygulamalar, mevcut yamalar ve azaltımlar hakkında bilgi sağlayabilir.
Veytia, “Gelecek sürümlerde ekip, takılabilir bir depolama arka ucu çıkarmayı, SBOM çıkışını kontrol etmek için seçenekler eklemeyi ve artık OpenSSF altında olduğundan, genişletilmiş bir SBOM sorunları alanını ele almak için daha fazla kitaplık toplamaya başlamayı planlıyor” dedi. .
Protobom GitHub’da ücretsiz olarak mevcuttur.
Okumalısınız: