İki yıl ne fark eder. 2021’de bu sıralarda, yazılım malzeme listesi anlamına gelen “SBOM” terimi, güvenlik konuşmalarında bile pek yaygın değildi. Şimdi ülke çapında, hatta dünya çapındaki organizasyonlarda tartışıldığını görüyoruz.
Bunun nedeni, ülkenin siber güvenlik manzarasında kritik bir kilometre taşı olan ve 12 Mayıs 2021’de Başkan Biden tarafından imzalanan 14028 sayılı İcra Kararnamesi’dir. EO 14028’in temel amacı, yazılımlarını Amerika Birleşik Devletleri hükümetine satan yazılım tedarikçileri için güvenlik ön koşulları oluşturmaktı, ancak siparişte yapılan tavsiyeler kaçınılmaz olarak özel sektörü de dikkate almaya ikna etti. Duyurudan bu yana iki yıl geçti ve şu anda nerede olduğumuzu ve hala nerede iyileştirmeler yapacağımızı değerlendirmeye değer.
Genellikle yazılım için bir “içerik listesi” olarak tanımlanan bir SBOM, bir yazılım uygulamasında veya sistemde kullanılan bileşenlerin ve sürümlerinin bir listesidir. Yazılım tedarik zincirinde şeffaflık sağlar ve kuruluşların kullandıkları yazılımla ilişkili riskleri yönetmelerine yardımcı olur. Yürütme emri, federal yüklenicilerin ABD hükümeti ile çalışmak için bir SBOM’u sürdürmelerini zorunlu kılar. Ancak artık SBOM’ların bundan çok daha yaygın olarak kullanıldığını görüyoruz.
SBOM’ların farkındalığı muazzam bir şekilde arttı. Ne kadar? Kesin rakamlara ulaşmak zor, ancak 2022’de Linux Vakfı tarafından dünya çapında 412 kuruluşla yapılan bir anket şunları buluyor:
- %82’si “yazılım malzeme listesi” terimine aşinadır.
- %76’sı aktif olarak SBOM ihtiyaçlarını karşılamakla meşgul.
- %47’si SBOM üretiyor veya tüketiyor.
- Kuruluşların %78’i, önceki yıla göre %66 artışla 2022’de SBOM üretmeyi veya tüketmeyi bekliyor.
SBOM’nin durumu şudur: Kuruluşlar için lisans sorunlarından güvenlik açıklarına ve kullanım ömrü sonu risklerine kadar birçok türde yazılım bağımlılığı riskini bir araya getirmek için önemli bir araç haline geldi. Sağladığı görünürlük paha biçilemez ve bu nedenle ortaklarından bir SBOM’ye sahip olmalarını isteyen daha fazla özel sektör kuruluşu görüyoruz. Ve neden birçok Fortune 1000 şirketinin artık aktif bir SBOM projesi var?
Ancak, daha fazla benimsenmeyle birlikte, daha fazla operasyonel zorluk da görüyoruz. Öğrenme eğrisi bazı kuruluşlar için dik olmuştur. Güvenlik liderlerinin, bir SBOM’nin nasıl sürdürüleceği, paylaşılacağı, çalıştırılacağı ve güncel tutulacağı gibi soruları vardır. SBOM’yi operasyonel hale getirmek saman adamdır ve birçok kuruluş hala bir SBOM oluşturmaya yönelik temel gereksinimlerle nereden başlayacağı konusunda mücadele etmektedir.
Kauçuğun Yola Çıktığı Yer: SBOM’ları İki Yıl İçinde Faaliyete Geçirmek
Bir SBOM uygulamasındaki ilk adım, kapsamınızı tanımlamaktır. Kritik uygulamalarınızın nerede olduğunu ve bunları analiz etmeye başlamak için en iyi yeri (geliştirme, aşama veya üretimde) anlayın. Ardından, verileri otomatik olarak taramak ve toplamak için bir işlemin enstrüman olarak kullanılması önemlidir. Arada bir, manuel olarak taramak istemezsiniz. Güncel görünürlük ve bilgiler, SBOM’un size yararlı bilgiler vermesini sağlamanın anahtarıdır.
Bir sonraki adım, SBOM’yi yaygın güvenlik açıkları ve riskler (CVE’ler), lisanslar, uzlaşma göstergeleri (IOC’ler), itibar ve riske görünürlük sağlayan diğer faktörler gibi verilerle zenginleştirmektir. SBOM verilerini tehdit verileriyle ilişkilendirmek, kuruluşların riskleri belirlemesine ve iyileştirme çabalarına öncelik vermesine yardımcı olur.
SBOM’ların Zorlukları Nelerdir?
İki yıl sonra, görünürlük ve bilgi için ve ayrıca güvenlik açığı yönetimi için SBOM’ları kullanan daha fazla kuruluş görüyoruz. Bu, ortamdaki kusurların düzeltilmesini ve önceliklendirilmesini içerir. Bu, çalışma zamanında gerçekten neyin kullanıldığına (önceliksiz kılınabilene karşı) derinlemesine bir anlayış gerektirdiğinden, zorlayıcı olabilir. Ayrıca kuruluşların bileşenler arasındaki bağımlılıkları ve bunların yazılım uygulamasını veya sistemi nasıl etkilediğini anlaması gerekir. Eksiksiz yazılım tedarik zinciri platformlarının, müşterilerinin iyileştirme çabalarına öncelik vermesine izin vermek için bu yetenekleri sağlaması gerekir.
SBOM’larla daha fazla organizasyonun ilerlediğini gördüğümüz için otomasyon da dikkate alınması gereken başka bir konu. SBOM’ler oluşturma, riskleri bileşenlere göre haritalama, önceliklendirme ve iyileştirme, ürünlerin bugün geliştirildiği ölçekte ve hızda manuel olarak yapılamaz. SBOM’lar, otomasyonla birleştirilmemişlerse operasyonel olarak kullanılamazlar.
SBOM, yazılım tedarik zinciri riskini yönetmek için önemli bir araç haline geldi. Son iki yılda SBOM’nin farkındalığında ve benimsenmesinde önemli miktarda büyüme gördük. Ve bundan iki yıl sonra, güvenlik stratejileri konusunda ciddi olan hemen hemen her kuruluş tarafından SBOM’ların standart olarak kullanıldığını göreceğimizi tahmin ediyorum. Kuruluşlar bunu yaparak kullandıkları yazılımla ilişkili riskleri yönetebilir, itibarlarını koruyabilir ve siber güvenlik duruşlarını geliştirebilir.