SolarWinds, Microsoft Exchange ve Colonial Pipeline’a yönelik yüksek profilli saldırıların ardından Başkan Biden’ın ABD’nin siber güvenlik savunmasını güçlendirmek için bir Yürütme Emri (EO) imzalamasından iki buçuk yıl sonra, Sonatype tarafından yapılan araştırma, yazılım tedarik zinciri güvenliğini iyileştirmek Atlantik’in bu yakasında da harekete geçti.
Sonatype, hem Birleşik Krallık hem de ABD’deki kuruluşlardaki güvenlik liderleriyle anket yaptı ve EO’nun imzalanmasından önce %4’lük önemsiz bir oran olan işletmelerin %76’sının bir yazılım malzeme listesi (SBOM) benimsediğini ve başka bir %16 planı benimsediğini buldu. bunu önümüzdeki 12 ay içinde her iki ülkede de yapmak.
Bulgular ayrıca, SBOM’lerin önemli bir satın alma gereksinimi haline geldiğini ortaya koydu; yanıt verenlerin %60’ı artık birlikte çalıştıkları tedarikçilerin bir SBOM’ye sahip olmasını sözleşmeye dayalı bir koşul haline getiriyor ve %37’si bunu gelecekte zorunlu kılmayı planlıyor.
En önemlisi, yeni SBOM politikalarını benimseyen Birleşik Krallık’ta yanıt verenler arasında önemli bir %44’lük kısım, bunu Biden’ın İdari Kararnamesine doğrudan yanıt olarak yaptıklarını söyledi; bu, Birleşik Krallık BT liderlerinin kuruluşlarının etkili bir şekilde çalışmasına yardımcı olmak için ABD düzenlemelerini takip etmeye istekli olduğunun açık bir işaretidir. Birleşik Krallık’ın en büyük ticaret ortağı olan ABD, 2022’de Birleşik Krallık ihracatının %20,6’sını aldı.
Sonatype CEO’su Wayne Jackson, “Yazılım tedarik zincirinde daha iyi görünürlüğün değerini yıllardır vurguluyoruz” dedi. “Dünya çapındaki hükümetler satıcıları sorumlu tutmak için üzerlerine düşeni yapmak zorundalar ve nihayet düzenleyici baskıların bir sonucu olarak artan SBOM benimsenmesiyle bunun meyvelerini verdiğini görüyoruz.
“Ancak, tümü siber dayanıklılıkla farklı şekillerde mücadele eden, ayrıştırılmış düzenlemelerden oluşan dağınık bir yamalı yapıdan kaçınmak için uluslararası hükümetleri ve işletmeleri politika açısından aynı sayfada görmemiz gerekiyor. Aksi takdirde, açık kaynak ekosistemi gibi gerçekten önemli yazılım geliştirme alanlarında yeniliği engelleyebilir. Özel sektör ve kamu sektörü arasındaki aktif iletişim, bundan kaçınmak için uzun bir yol kat edecektir.”
Sonatype’ın kurucu ortağı ve CTO’su Brian Fox ayrıca, SBOM’ların daha geniş çapta benimsendiğini görmek sevindirici olsa da, hikayenin diğer yüzü, kuruluşların %76’sı bunu yaptıysa, %24’ünün yapmadığını gözlemledi.
Fox, “Geçen yılki araştırma bulgularımızı yansıtıyor, birçok kuruluşun yazılım tedarik zinciri yönetiminde düşündüklerinden çok daha geride olduğunu gösteriyor” dedi.
“SBOM’ler siber dirençlilik için yalnızca ‘birinci adım’dır – yazılım bileşimi analizi için araçlara yatırım yapmak gibi iyi bir yazılım hijyeni elde etmek istiyorsanız, bu bileşenler listesinden sonra gelen çok daha fazlası var. Henüz o ilk adımda değilseniz, geride kalacaksınız.”
Yönetmelik yüksek oranda tercih ediliyor
Birleşik Krallık’ta yanıt verenler ayrıca, hükümet düzenlemelerinin genel olarak siber güvenlik konusunda iğneyi hareket ettirdiğine daha fazla güven duyduklarını ifade ettiler; NIST Tedarik Zincirlerinde Yazılım Güvenliği düzenlemeleri, aynı şeyi düşünen Amerikalıların yüzdesini geride bırakarak siber güvenliği iyileştirmede etkili oldu.
İngilizler ayrıca GDPR ve AB Siber Direnç Yasası’ndan daha çok yanaydı, ancak bu belki daha az şaşırtıcı.
Aynı düzenlemelerden hangisinin siber güvenliği geliştirmede en etkili olduğu sorulduğunda, herkes için net bir destek vardı, ancak Birleşik Krallık’ta yanıt verenler, NIST düzenlemelerini tercih etme eğiliminde olan ABD’li yanıt verenler yerine CISA yönergelerini tercih etme eğilimindeydiler.
Raporun yazarları, bunun İngiltere’nin Ulusal Siber Güvenlik Merkezi’nin (NCSC) CISA projesine dahil edilmesiyle çok az ilgisi olabileceğini öne sürdüler. Bununla birlikte, “bu, bu düzenlemelerin sahip olduğu olumlu etkiyi vurguluyor ve ABD düzenlemelerinin Birleşik Krallık siber güvenlik politikası üzerinde nasıl önemli bir etkiye sahip olduğunu mükemmel bir şekilde vurguluyor” dediler.
Rapor ayrıca önemli bir şekilde, İngilizlerin Birleşik Krallık’ta sunulan yazılım tedarik zinciri düzenlemesi ve rehberliği hakkında daha az olumlu hissetme eğiliminde olduğunu da ortaya koydu – ABD’de sunulanlar hakkında olumlu düşünen ABD’li yanıt verenlerin %84’üne kıyasla %68. Sonatype, bunun ABD’nin açıkça daha fazla rehberlik sunmuş olmasıyla bir ilgisi olabileceğini öne sürdü – Birleşik Krallık’ta işler istişare aşamasının ötesine geçmedi.
Raporun yazarları, bunun Birleşik Krallık’ta etkili – veya herhangi bir – düzenleme için büyük bir iştah olduğunu gösterdiğini ekledi.
Çok fazla aşçı?
Spnatype’ın araştırması ayrıca ABD’de güvenlik liderlerinin oyunda biraz fazla düzenleme olduğunu düşünme eğilimini vurguladı.
Bu, ABD’de CISA’nın ev sahipliğinde düzenlenen ve katılımcıların SBOM’lar konusunda artımlı bir süreç olduğu konusunda hemfikir oldukları, ancak gerçekten etkili bir rehberlik oluşturmak için daha gidilecek çok yol olduğu SBOM-a-rama adlı yakın tarihli bir etkinlikte daha da vurgulandı.
Birçok kişi tarafından atıfta bulunulan bir konu, birbiriyle çelişen standartlar ve yönetmelikler konusundaki kafa karışıklığı ve CISA ve NIST yönergelerinde ve İnternet Mühendisliği Görev Gücü gibi diğer sivil toplum kuruluşları tarafından yayınlanan kılavuzlarda birden çok örtüşme örneğiydi.
SBOM-a-rama katılımcılarıyla röportaj yapan Computer Weekly’nin kardeş başlığı TechTarget IT Operations’a göre, bazı kuruluşlar uyma zahmetine girmezlerse ne olacağını merak etmeye başladılar.
“Sık sık duyduğum bir soru [from clients] ‘Peki, ya uymazsak ve bu riski kabul edersek?’ ve “Gerçekten olacak bir şey var mı?”