Doug Dooley, COO tarafından,
Yazılım tedarik zinciri, bulut bilgi işlem, açık kaynaklı yazılım ve üçüncü taraf yazılım bileşenleri ve API’lerin yükselişiyle giderek daha karmaşık ve dinamik hale geldi. Üçüncü taraf API’ler, bulut hizmetleri, SDK’ler ve açık kaynaklı yazılımların güvenlik kusurları varsa, kuruluşlar için yaygın hasar meydana gelebilir. Sonuç olarak, yazılım tedarik zinciri güvenliği, farklı sektörlerdeki kuruluşlar için kritik bir endişe kaynağı olarak ortaya çıktı. SolarWinds, Kaseya ve Apache Log4j gibi yüksek profilli olayların kanıtladığı gibi, tedarik zinciri saldırıları daha sık, karmaşık ve yıkıcı hale geldi.
Kuruluşlar, yazılım tedarik zinciri güvenliğinin artan zorluklarını ele almak için yazılım malzeme listelerinden (SBOM’ler) yararlanmaya yöneldiler. SBOM’lar, sürümleri, bağımlılıkları ve kaynakları dahil olmak üzere belirli bir ürün veya sistemde kullanılan yazılım bileşenlerinin standartlaştırılmış bir envanteridir. SBOM’lar, yazılım tedarik zincirinde şeffaflık ve görünürlük sağlar. Kuruluşların yerinde çalışma zamanı keşfi de dahil olmak üzere SBOM’lerden tam olarak yararlanmak için doğru araçlara sahip olduğu varsayılarak, güvenlik risklerini, uyumluluk sorunlarını ve operasyonel zorlukları belirlemek ve azaltmak için etkili bir yaklaşım olabilirler.
SBOM’lar yeni bir kavram değildir, ancak aşağıdaki İlk Beş de dahil olmak üzere bir dizi önemli faktör nedeniyle son yıllarda benimsenmeleri hızlanmıştır.
Birincisi, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) gibi düzenleyici kurumlar, yazılım tedarik zinciri güvenliği için en iyi uygulama olarak SBOM’ları savunuyorlar. NIST bir yayınladı ve CISA yayınladı.
İkincisi, Açık Kaynak Güvenlik Vakfı (OpenSSF) ve Kodda Mükemmellik için Yazılım Güvencesi Forumu (SAFECode) gibi endüstri girişimleri, SBOM’ları yazılım güvenliğinin temel bir unsuru olarak desteklemiştir. OpenSSF, SBOM’lar üzerine bir çalışma grubu başlattı ve açık kaynak yazılımların (OSS) dayanıklılığını ve güvenliğini artırmak için SBOM yönetimi yönergeleri de dahil olmak üzere; SAFECode ise SBOM’lar hakkında bir teknik inceleme yayınladı.
Üçüncüsü, tedarik zinciri saldırıları, proaktif ve önleyici bir önlem olarak SBOM’lara olan ihtiyacı vurgulamıştır. SBOM’lar, kuruluşların yazılım tedarik zincirindeki güvenlik açıklarını, kötü amaçlı kodları ve yetkisiz değişiklikleri tespit etmesine ve bunlara yanıt vermesine yardımcı olabilir. SBOM’lar, etkilenen yazılım bileşenleri hakkında doğru ve kapsamlı bilgiler sağlayarak olay müdahalesini ve kurtarma çabalarını da destekleyebilir.
Dördüncüsü, müşteri talepleri ve pazar baskıları SBOM’lerin benimsenmesini etkilemiştir. Müşteriler, yazılım tedarik zinciri risklerinin giderek daha fazla farkına varıyor ve satın alma ve değerlendirme süreçlerinin bir parçası olarak SBOM’lar istiyor. Sağlık ve otomotiv gibi bazı endüstriler, güvenlik ve sorumluluk nedenleriyle SBOM’ları zorunlu kıldı. SBOM’lar ayrıca yazılım satıcıları için marka itibarını, müşteri güvenini ve rekabet avantajını artırabilir.
Beşincisi, teknolojik gelişmeler SBOM’ların oluşturulmasını ve tüketilmesini kolaylaştırmıştır. CycloneDX ve SPDX gibi açık standartların ortaya çıkışı, SBOM’ların farklı araçlar ve platformlar arasında birlikte çalışabilirliğini ve entegrasyonunu mümkün kıldı. Yazılım bileşimi analizi (SCA) ve güvenlik açığı tarayıcıları gibi otomatikleştirilmiş araçların geliştirilmesi, SBOM’lerin zamanında ve doğru bir şekilde oluşturulmasını ve doğrulanmasını sağlamıştır. SBOM’ların kimlik ve erişim yönetimi (IAM) ve güvenlik bilgileri ve olay yönetimi (SIEM) gibi diğer güvenlik önlemleriyle entegrasyonu, yazılım tedarik zinciri güvenliğinin etkili bir şekilde görülmesini sağlamıştır.
Ancak SBOM’lar, yazılım tedarik zinciri güvenliği için sihirli değnek değildir. SBOM’ler yalnızca içerdikleri veriler kadar iyidir ve verilerin kalitesi, özellikle API’lerin uygulama yazılımı yığını, bulut hizmetleri ve SDK’lar çevresinde, kaynağa ve toplama yöntemine bağlı olarak değişebilir. SBOM envanteri sürekli değişiyor ve güncel verilerinden yararlanabilmek, geleneksel kaynak kodu statik analiz yaklaşımlarından alınan bir anlık görüntüden daha fazlasını, bunun yerine sürekli çalışma zamanı analizi ve dinamik envanteri gerektiriyor.
Örneğin, yaygın satıcı yönetimi ve yazılım bileşimi analizi (SCA) yaklaşımları, genellikle mobil, web, bulut ve kullanıma hazır ticari (COTS) yazılımların yanı sıra üçüncü taraf API hizmetleri için kaynak kodu erişiminden yoksundur.
Daha etkili bir yaklaşımın ardından kuruluşlar, sürekli üçüncü taraf uygulama varlığı keşfi ve üçüncü taraf satıcıların dinamik takibini sağlayan tam yığın saldırı yüzeyi yönetimi (ASM) yazılım tedarik zinciri çözümünden yararlanabilir. Bu yeni yaklaşımlar, varlıkları otomatik olarak bilinen sağlayıcılar altında sınıflandırır, müşterilerin ek yeni satıcılar eklemesine, varlıkları herhangi bir satıcı altında ayrı ayrı düzenlemesine ve politika ihlallerindeki artışlar ve üçüncü taraf satıcıların önemli uygulamalara yüksek yerleştirme oranları hakkında uyarı vermesine olanak tanır. Bu otomatik yetenekler, satıcı yönetimi ekiplerinin tedarik zinciri güvenlik sorunlarını daha hızlı, daha kolay ve eski yaklaşımlardan çok daha doğru bir şekilde çözmesine olanak tanır.
SBOM’lerin ayrıca yazılım satıcıları, tedarikçiler, müşteriler ve düzenleyiciler dahil olmak üzere birden fazla paydaş arasında işbirliği ve iletişim gerektirdiğine dikkat etmek önemlidir. SBOM’lar, yazılım bileşenleri ve bunların ilişkileri hakkında bilgi açığa çıkarabildikleri için bazı gizlilik ve fikri mülkiyet endişeleri de doğurabilir.
Genel olarak kuruluşların, yazılım tedarik zinciri güvenliğine kapsamlı ve riske dayalı bir yaklaşım benimsemeleri gerekir; bu yaklaşımın önemli bir bileşeni, bilgilerinden en iyi şekilde yararlanmak için SBOM’ler ve araçlardır. Kuruluşlar, SBOM doğrulama ve doğrulamanın yanı sıra SBOM oluşturma, yönetme ve paylaşma için politikalar ve prosedürler oluşturmalıdır. Kuruluşlar ayrıca yazılım tedarik zincirlerinin güvenliğini en iyi şekilde sağlamak için SBOM’ları tehdit modelleme, sızma testi ve kod inceleme gibi diğer güvenlik önlemleri ve uygulamalarıyla entegre etmelidir.
reklam