IBM, Open Worldwide Application Security Project (OWASP) Foundation’ın CycloneDX Software Bill of Materials (SBOM) standardına iki açık kaynak tedarik zinciri aracı — SBOM Utility ve License Scanner — katkıda bulunmuştur. Bu iki araç, OWASP’nin gelişmiş tedarik zinciri risk azaltma sağlayan “tam yığın” bir BOM standardı olarak tanımladığı CycloneDX’teki iki önemli boşluğu dolduracaktır.
Yazılım malzeme listesi veya SBOM, yazılımda kullanılan tüm ayrı bileşenleri listeleyen bir envanterdir. İki yıl önce Log4j kitaplığındaki güvenlik açığının keşfedilmesi, ne kadar az kuruluşun çalıştırdıkları yazılımın içinde ne olduğunu gerçekten anladığını gösterdi. Hangi üçüncü taraf bileşenlerin, kitaplıkların ve çerçevelerin kullanıldığını bilmek yeterli değildi — kuruluşların tüm bağımlılıkların farkında olması gerekir onlar bileşenler kullanıyordu. Çeşitli tedarik zinciri saldırılarına ve Log4j kaosuna yanıt olarak Beyaz Saray bir icra emri geliştiricilerin tedarik zincirlerinin güvenliğini geliştirmelerini zorunlu kılmak. Bunun bir yolu, dağıttıkları her yazılım parçası için bir SBOM eklemek ve sürdürmektir.
IBM’in sistem stratejisi ve geliştirmeden sorumlu genel müdürü Jamie Thomas, “IBM, modern yazılımlar oluşturan tüm geliştiricilerin ve kuruluşların SBOM’ler oluşturma yolculuklarına başlamalarını savunuyor,” diyor. “Bu araçlar, yazılım tedarik zincirlerindeki potansiyel riskleri daha iyi anlayabilmeleri için bu yolculukta geliştiricilere yardımcı olacak temel tamamlayıcılardır.”
SBOM’ları standartlaştırma
SBOM’yi standartlaştırma çabaları, son iki yılda yazılım tedarik zinciri saldırılarındaki keskin artışla birlikte hızlandı.
CycloneDX iki temel SBOM standardından biridir, diğeri ise Linux Foundation’ın Yazılım Paketi Veri Alışverişidir (SPDX). Daha yeni olan CycloneDX’in savunucuları, onu bilgi alışverişinde bulunmak için makine tarafından okunabilir bir yol arayanlar için daha uygun, daha hafif bir standart olarak tanımlıyor. 2021’de Linux Vakfı ilan edilen SPDX başlangıçta fikri mülkiyet ve lisanslama kullanım durumları için oluşturulmuş olsa da bir SBOM standardı. Her iki kuruluş da ilgili SBOM standartları çabalarını genişletiyor.
ServiceNow’da ürün güvenliği direktörü ve OWASP’ın CycloneDX çalışma grubu başkanı Steve Springett, Dark Reading’e IBM’in CycloneDX’in standartlar çabalarını ilerletmede aktif olarak katıldığını söyledi. Springett, “Yazılım tedarik zinciri güvenliği, yönetim kurulu düzeyindeki tartışmaların bir konusudur” diyor. “Kuruluşların yazılım tedarik zinciri güvencesini iyileştirmesi gereken birçok yol var. Ve bu, daha fazla istihbarat sağlamak için tüm verilere ve daha fazla araca fiilen sahip olmakla başlar.”
Lisans Tarayıcı Aracı SPDX ile Denge Getiriyor
CycloneDX çalışma grubu, yıllar içinde, SPDX lisans kimlikleri için temel düzey destek de dahil olmak üzere, bazı lisans tarama yeteneklerini kullanıma sunmuştur. Ancak CycloneDX’in lisanslama yeteneği, SPDX’in işlevselliğini geride bıraktı. Springett diyor ki IBM’in Lisans Tarayıcısı o boşluğu doldurur. Springett, Dark Reading’e “Projenin bir parçası olarak bir lisans tarayıcımızın olması harika,” dedi. “Ayrılmış bir lisans aracına sahip olmak aslında daha fazla insanı oluşturduğumuz Cyclone DX tablosuna davet edecektir.”
AppSec araç sağlayıcısı Sonatype’ın kurucu ortağı ve CTO’su Brian Fox da aynı fikirde. Fox, “Bunun lisanslama tarafında CycloneDX ile işleri dengelemeye yardımcı olduğunu düşünüyorum” dedi. “Ekosistemdeki araçların daha iyi çalışmasını sağlamak için daha fazla yapı taşı sağlayacaktır. Lisanslı verileri CycloneDX SBOM’nize daha kolay ekleyebilmek, eğer bunu yapacak mevcut araçlarınız yoksa, yararlı bir yardımcı programdır. Yeteneğe sahip olmak her iki formatı da doğrulamak için yararlı bir yardımcı programdır.”
Çarşamba günü bir OWASP blog yazısında IBM’in katkısını duyurmak, Springett, IBM’in Lisans Tarayıcısının dosyaları lisanslar ve yasal koşullar için taradığını belirtti. “Metin eşleştirme lisanslarını ve lisans istisnalarını eksiksiz, yayınlanan yayından belirlemeye yardımcı olmak için kullanılabilir. SPDX Lisans Listesi,” diye yazdı. “Ayrıca ek yasal terimleri, anahtar sözcükleri, takma adları ve SPDX olmayan lisansları tanımlayacak şekilde yapılandırılabilir. Bir kitaplık olarak Lisans Tarayıcı, mevcut BOM oluşturma yazılımına entegre edilmek üzere tasarlanmıştır veya kendi başına bir komut satırı yardımcı programı olarak kullanılabilir.”
SBOM Yardımcı Programı, CycloneDX’e API’ler Ekler
Springett, IBM’in SBOM Yardımcı Programı CycloneDX veya SPDX biçimli malzeme listelerini yayınlanan şemalarıyla doğrulayabilen bir API platformu olarak. Donanım (HBOM’lar) ve SaaS (SaaSBOM’ler) dahil olmak üzere çeşitli BOM türlerini doğrulayabilir ve analiz edebilir. Springett, gelecekte, SBOM Utility’nin OWASP’nin Yazılım Bileşeni Doğrulama Standardını (SCVS) destekleyeceğini belirtti. ürün ağacı olgunluk modeli (BMM), yazılım tedarik zincirindeki risklerin belirlenmesine ve azaltılmasına yardımcı olmak için.”
Ayrıca, SBOM Yardımcı Programının, CycloneDX’in risk değerlendirmesi sağladığını belirttiği Güvenlik Açığı İfşa Raporları (VDR’ler) ve Güvenlik Açığı İstismar Değişimi (VEX) veri formatları gibi belgeleri işleyebileceğini kaydetti.
Springett, “SBOM Yardımcı Programı harika çünkü bir API yaklaşımı alıyor ve kuruluşların CycloneDX veri modelini ve içindeki tüm verileri dilimlemesine ve parçalara ayırmasına izin veriyor” diyor. “Malzeme listesinin belirli yönleriyle ilgileniyorsanız, bunu hızlı bir şekilde sorgulayabilirsiniz, bu harika. Ardından, kuruluşların bu malzeme listesinde bulunabilecek veya bulunmayabilecek veri türlerine dayalı olarak politika oluşturmaya başlamasına izin verebilirsiniz. .”
IBM başlangıçta SBOM Utility ve License Scanner’ı kendi kullanımı için oluşturmuş olsa da, şirket ticari sürümler yayınlamayı planlayıp planlamadığını açıklamadı.