Yazılım Malzeme Listesi (SBOM), Standartlar, Düzenlemeler ve Uyumluluk
OpenSSF, Küresel Yazılım Tedarik Zinciri Projesini Başlatmak İçin DHS ve CISA ile İşbirliği Yapıyor
Chris Riotta (@chrisriotta) •
16 Nisan 2024
Yazılım malzeme listelerinin endüstri tarafından alımını artırmaya yönelik bir baskının ortasında ABD federal hükümeti tarafından desteklenen yeni bir araç, federal kurumların ve özel sektör firmalarının kritik güvenlik açıklarını hızlı bir şekilde tespit etmeye ve azaltmaya yardımcı olabilecek kapsamlı envanter listelerini benimsemelerine yardımcı olmayı vaat ediyor.
Ayrıca bakınız: Finansal Hizmetlere Yönelik Yazılım Tedarik Zinciri Platformu
Yazılım malzeme listeleri, yazılım bileşenlerini oluşturan tüm bileşenleri listeler ve genellikle yazılım tedarik zinciri risk yönetiminde önemli bir yapı taşı olarak tanımlanır. Ajanslar, genellikle karmaşık ve çok yönlü tedarik zincirlerini içeren federal sistemler için yazılım envanterlerini oluşturmak, okumak ve paylaşmak için gereken kaynak ve teknik uzmanlık eksikliğini öne sürerek son yıllarda yeni SBOM talimatlarına uymakta zorlandılar (bkz.: CISA’nın Yeni SBOM Rehberi Uygulama Zorluklarıyla Karşı Karşıya).
Salı günü Açık Kaynak Güvenliği Vakfı, bir çözüm geliştirmek için ABD’nin en büyük siber kurumu ve İç Güvenlik Bakanlığı Bilim ve Teknoloji Müdürlüğü ile ortaklığını duyurdu. Küresel bir yazılım tedarik zinciri açık kaynak projesi olan Protobom, SBOM’ları çeşitli veri formatlarına ve tanımlama şemalarına dönüştürmek için çok çeşitli uygulamalara entegre edilebilir.
CISA kıdemli danışmanı Allan Friedman’a göre Protobom “daha fazla verimlilik ve birlikte çalışabilirliğe doğru atılmış bir adımdır”. Friedman yaptığı açıklamada programın SBOM’ları “yaygın olarak kullanılan formatlara çevirebileceğini, böylece araçların ve kuruluşların önemli olana odaklanabileceğini” söyledi.
Bir basın açıklamasına göre proje, mevcut yamalar ve hafifletmeler hakkında gerçek zamanlı bilgi sağlamak için SBOM bilgilerini bilinen güvenlik açıklarına ilişkin kamu kayıtlarıyla ilişkilendiren uygulamalara entegre edilebilecek ücretsiz bir kaynak olacak.
OpenSSF genel müdürü Omkhar Arasaratnam, yaptığı açıklamada Protobom’un “sadece SBOM oluşturmayı kolaylaştırmakla kalmayıp aynı zamanda kuruluşlara açık kaynak bağımlılıklarının riskini proaktif bir şekilde yönetme yetkisi verdiğini” söyledi.
OpenSSF’ye göre Protobom, standartların üzerinde, formattan bağımsız bir veri katmanı aracılığıyla ticari ve açık kaynaklı uygulamalara entegre edilebiliyor ve bu da uygulamaların her türlü SBOM formatıyla sorunsuz bir şekilde çalışmasına olanak tanıyor.
Protobom, CISA ve DHS’nin küresel açık kaynak projesini geliştirmek için aralarında Manifest Cyber, Chainguard Inc., TestifySec ve Veramine’nin de bulunduğu yedi startup’tan oluşan bir gruba finansman sağlamasının bir sonucudur.
DHS Bilim ve Teknoloji Direktörlüğü Silikon Vadisi İnovasyon Programı program genel müdürü Melissa Oh, yaptığı açıklamada ajansın “tedarik zincirlerindeki risklere ışık tutacak ve genel siber güvenliği güçlendirecek teknolojiler geliştirmek için startup topluluğundan yararlandığını” söyledi. kuruluşların.”