Цепочка поставок программного обеспечения
Цепочка поставок программного обеспечения состоит из компонентов, библиотек, инструментов и процессов, используемых для разработки, создания и публикации программного продукта. [1]
Поставщики программного обеспечения часто создают продукты, объединяя компоненты программного обеспечения с открытым исходным кодом и проприетарные компоненты. Спецификация программного обеспечения [2] (SBOM) объявляет перечень компонентов, используемых для создания программного артефакта, такого как программное приложение. [3] Это аналогично списку ингредиентов на упаковке пищевых продуктов: там, где вы можете свериться с этикеткой, чтобы избежать продуктов, которые могут вызвать аллергию , SBOM может помочь организациям или людям избежать использования программного обеспечения, которое может им нанести вред.
Концепция спецификации хорошо известна в традиционном производстве как часть управления цепочкой поставок . [4] Производитель использует спецификацию для отслеживания деталей, которые он использует для создания продукта. Если позже в определенной детали будут обнаружены дефекты, спецификация позволит легко найти дефектные продукты.
Использование
[ редактировать ]SBOM полезен как разработчику (производителю), так и покупателю (заказчику) программного продукта. Разработчики часто используют доступные программные компоненты с открытым исходным кодом и сторонние программные компоненты для создания продукта; SBOM позволяет разработчику убедиться в актуальности этих компонентов и быстро реагировать на новые уязвимости. [5] Покупатели могут использовать SBOM для выполнения анализа уязвимостей или лицензии, оба из которых могут использоваться для оценки риска в продукте.
Хотя многие компании используют электронную таблицу только для общего управления спецификациями, существуют дополнительные риски и проблемы, связанные с записью SBOM в электронную таблицу. SBOM приобретают большую ценность, когда коллективно хранятся в репозитории, который может быть частью других систем автоматизации и легко запрашиваться другими приложениями. Эту потребность в автоматизированной обработке SBOM решают различные поставщики программного обеспечения, особенно те, которые используют стандарты открытых документов.
Понимание цепочки поставок программного обеспечения, получение SBOM и его использование для анализа известных уязвимостей имеют решающее значение для управления рисками . [6] [7] [8]
Законодательство
[ редактировать ]Закон об управлении цепочками поставок и прозрачности в киберпространстве 2014 года. [9] было законодательство США, которое предлагало потребовать от правительственных учреждений получать SBOM для любой новой продукции, которую они покупают. Это также потребовало бы получения SBOM для «любого программного обеспечения, встроенного ПО или продукта, используемого правительством США». Хотя в конечном итоге он не был принят, этот закон все же привлек внимание правительства и послужил толчком к принятию последующих законов, таких как «Закон об улучшении кибербезопасности Интернета вещей 2017 года». [10] [11]
Указ США об улучшении национальной кибербезопасности от 12 мая 2021 г. [12] приказал NIST в течение 90 дней выпустить руководство, чтобы «включить стандарты, процедуры или критерии в отношении» нескольких тем, чтобы «повысить безопасность цепочки поставок программного обеспечения», включая «предоставление покупателю спецификации программного обеспечения (SBOM) для каждого продукт." было поручено в течение 60 дней Также NTIA «опубликовать минимальные элементы для SBOM».
Минимальные элементы NTIA были опубликованы 12 июля 2021 г. [13] а также «описывает варианты использования SBOM для большей прозрачности в цепочке поставок программного обеспечения и излагает варианты будущего развития». Минимальные элементы состоят из трех широких категорий: поля данных (базовая информация о каждом программном компоненте), поддержка автоматизации (возможность генерировать SBOM в машиночитаемых и человекочитаемых форматах), а также практики и процессы (как и когда организации должны создавать SBOM). ). Требование «поддержки автоматизации» определяет необходимость «автоматической генерации», которая возможна с использованием решений анализа состава программного обеспечения (SCA). [14]
См. также
[ редактировать ]- Воспроизводимые сборки
- Обмен данными программного пакета
- Набор инструментов программного обеспечения
- Атака на цепочку поставок
- Файл манифеста
- Ад зависимости
Ссылки
[ редактировать ]- ^ «Для точного подсчета неработающих ссылок: квантовый взгляд на безопасность цепочки поставок программного обеспечения» (PDF) . USENIX ; войдите. Архивировано (PDF) из оригинала 17 декабря 2022 г. Проверено 4 июля 2022 г.
- ^ «Спецификация программного обеспечения» . ntia.gov. Архивировано из оригинала 30 ноября 2022 г. Проверено 25 января 2021 г.
- ^ «[Часть 2] Кодекс, автомобили и Конгресс: время киберуправления цепочками поставок» . Архивировано из оригинала 14 июня 2015 г. Проверено 12 июня 2015 г.
- ^ «Кодекс, автомобили и Конгресс: время киберуправления цепочками поставок» . Архивировано из оригинала 30 декабря 2014 г. Проверено 12 июня 2015 г.
- ^ «Спецификация программного обеспечения улучшает управление интеллектуальной собственностью» . Проектирование встраиваемых компьютеров . Архивировано из оригинала 25 августа 2018 г. Проверено 12 июня 2015 г.
- ^ «Соответствующие типы контроля безопасности программного обеспечения для сторонних поставщиков услуг и продуктов» (PDF) . Документы.ismgcorp.com. Архивировано (PDF) из оригинала 19 января 2023 г. Проверено 12 июня 2015 г.
- ^ «Топ-10 2013-A9-Использование компонентов с известными уязвимостями» . Архивировано из оригинала 06.10.2019 . Проверено 12 июня 2015 г.
- ^ «Риски кибербезопасности в цепочке поставок» (PDF) . Cert.gov.uk. Архивировано из оригинала 6 июня 2023 г. Проверено 28 июля 2020 г.
- ^ «HR5793 — 113-й Конгресс (2013–2014 гг.): Закон об управлении цепочками киберпоставок и прозрачности от 2014 г. — Congress.gov — Библиотека Конгресса» . 4 декабря 2014 г. Архивировано из оригинала 16 декабря 2022 г. Проверено 12 июня 2015 г.
- ^ «Закон о повышении кибербезопасности Интернета вещей 2017 года» (PDF) . Архивировано (PDF) из оригинала 19 января 2023 г. Проверено 26 февраля 2020 г.
- ^ «Закон о совершенствовании кибербезопасности 2017 года: призрак прошлого Конгресса» . 17 августа 2017 г. Архивировано из оригинала 16 декабря 2022 г. Проверено 26 февраля 2020 г.
- ^ «Указ о повышении кибербезопасности страны» . Белый дом . 12 мая 2021 г. Архивировано из оригинала 15 мая 2021 г. Проверено 12 июня 2021 г.
- ^ «Минимальные элементы спецификации программного обеспечения (SBOM)» . NTIA.gov . 2021-07-12. Архивировано из оригинала 5 июня 2023 г. Проверено 12 декабря 2021 г.
- ^ «NTIA публикует минимальные элементы спецификации программного обеспечения» . NTIA.gov . 2021-07-12. Архивировано из оригинала 22 ноября 2022 г. Проверено 22 марта 2022 г.