Devlet, Sektöre Özel, Yazılım Malzeme Listesi (SBOM)
Uzmanlar, Federal Kurumların SBOM Geliştirmeye Yönelik Kapsamlı Kılavuzlardan Eksik Olduğunu Söyledi
Chris Riotta (@chrisriotta) •
29 Kasım 2023
Satın alma uzmanları Çarşamba günü kongrede verdikleri ifadede, devlet kurumlarının yazılım malzeme listeleri geliştirmek ve bilgilerini siber güvenliği desteklemek için kullanmak için hâlâ açık ve kapsamlı bir çerçeveye sahip olmadığı konusunda uyardı.
Ayrıca bakınız: Para Katırları Finans Kurumunuza Sızıyor. Durdur onları.
Beyaz Saray, 2021 yılında, kurumların yazılım geliştirirken veya tedarik ederken SBOM’ları uygulamasını gerektiren ülkenin siber güvenliğini iyileştirmeye yönelik bir idari emir yayınladı. Genellikle gıda ürünlerine yönelik içerik listeleriyle karşılaştırıldığında SBOM’lar, bir yazılım ürününün bileşenleri, bağımlılıkları ve üçüncü taraf kitaplıkları hakkında kapsamlı bilgi sağlar ve federal yazılım tedarik zincirlerinin güvenliğini sağlamada giderek daha fazla kritik siber güvenlik araçları olarak görülmeye başlandı.
Ulusal Telekomünikasyon ve Bilgi İdaresi, SBOM’lar için gereken minimum unsurlar hakkında kılavuz yayınlarken, Devlet Alımları Koalisyonu başkanı Roger Waldron’a göre “mevcut ve önerilen hükümet gereklilikleri çok fazla cevapsız soru ve belirsizlik bırakıyor”.
Waldron, Temsilciler Meclisi’nin siber güvenlik, bilgi teknolojisi ve hükümet inovasyonu alt komitesi önünde ifade verirken, “Mevcut teklifler bir SBOM ve mevcut yazılıma yönelik büyük güncellemeler için onay gerektirecektir” dedi. “Büyük güncelleme nedir? Sık fakat küçük güncellemeler ne olacak? Açık kaynak ve üçüncü taraf yazılımların rolü nedir?”
Waldron, hükümetin SBOM geliştirme ve kullanımına ilişkin en iyi uygulamalar konusunda sektörden geri bildirim almaya devam etmesini ve federal yükleniciler için siber güvenlik ve tedarik zinciri gereksinimlerinin yönetilmesinde lider olarak Siber Güvenlik ve Altyapı Güvenliği Ajansı ile Federal Satın Alma Güvenlik Konseyi’ni kurmasını tavsiye etti.
Kongre, federal kurumların son yıllarda aralarında Huawei, ZTE, Hikivision, Dahua ve Hytera’nın da bulunduğu belirli Çinli teknoloji şirketleri tarafından geliştirilen yazılım ve ekipmanı satın almasını yasakladı. Ancak raporlar, bu şirketlerin ürünlerinin, yazılım bileşenlerinin ve hizmetlerinin hâlâ ülke çapındaki kritik altyapı sistemleri ağlarına ulaşmaya devam ettiğini gösteriyor.
Stratejik ve Uluslararası Çalışmalar Merkezi’nin stratejik teknolojiler programının yöneticisi James Lewis, yasa yapıcılara SBOM’ların “ABD’nin yazılımı Çin unsurlarıyla tanımlamasına ve kullanımının riskleri ve faydalarına karar vermesine izin verebileceğini” söyledi.
“ABD hükümetinin yazılım ve teknoloji satın alımları açısından, Çin’in düşmanca eylemi riski neredeyse kesindir” diye ekledi ve şunları kaydetti: “Federal kurumlar tarafından Çin yazılımlarının internete bağlı cihazlarda veya uygulamalarda kullanılması, Çinlilerin erişmesi için bir fırsat sağlayabilir. istihbarat ajansları.”
Görgü tanıkları, kurumların SBOM’larına nelerin dahil edilmesi gerektiği konusunda net yönergelere ihtiyaç duyduğunu, ancak aynı zamanda federal ağlara yönelik yıkıcı saldırılar için hangi bilgilerin ve potansiyel güvenlik açıklarının kullanılabileceği konusunda yönlendirmeye de ihtiyaç duyduklarını söyledi.
George Mason Üniversitesi Ulusal Güvenlik Enstitüsü’nün genel müdürü Jamil Jaffer, SBOM’ların siber güvenlik tehditlerini önleme ve azaltmada kritik bir rol oynayabileceğini, ancak bunun yalnızca doğru ellerde olduğunu söyledi.
“Yazılımın içinde ne olduğunu öğrendikten sonra insanların bu konuda bir şeyler yapması gerekir” dedi. “Yazılım malzeme listesinde ne olduğunu açığa çıkararak, aynı zamanda düşmanlarımıza neyin peşinden gitmeleri gerektiği konusunda bilgi veriyor.”