YORUM
Büyük, monolitik uygulamaların günleri sona eriyor. Günümüzün uygulamaları mikro hizmetlere ve kodun yeniden kullanımına dayanmaktadır; bu da geliştirmeyi kolaylaştırır ancak kullandıkları bileşenlerin izlenmesi ve yönetilmesi söz konusu olduğunda karmaşıklık yaratır.
İşte bu yüzden yazılım malzeme listesi (SBOM) Sistemlerde bulunan bileşenler, sürümler ve bağımlılıklar da dahil olmak üzere bir yazılım uygulamasında nelerin bulunduğunu tanımlamak için vazgeçilmez bir araç olarak ortaya çıkmıştır. SBOM’lar ayrıca siber güvenliği etkileyen bağımlılıklara, güvenlik açıklarına ve risklere ilişkin derinlemesine bilgiler sunar.
SBOM, yazılım bileşenlerinin güncel bir envanterini sağlayarak CISO’ların ve diğer kurumsal liderlerin gerçekten önemli olan şeylere odaklanmasına olanak tanır. Bu, güçlü bir yönetimin kurulmasını ve uygulanmasını ve potansiyel sorunların kontrolden çıkmadan önce tespit edilmesini kolaylaştırır.
Ancak yapay zeka (AI) çağında klasik SBOM’un bazı sınırlamaları vardır. Ortaya çıkan makine öğrenimi (ML) çerçeveleri dikkate değer fırsatlar sunuyor, ancak aynı zamanda riski de zorluyor ve kuruluşlara yeni bir varlık sunuyor: makine öğrenimi modeli. Bu modeller üzerinde güçlü bir gözetim ve kontrol olmadığında, bir dizi pratik, teknik ve hukuki sorunlar Ortaya çıkabilir.
Makine öğrenimi malzeme listelerinin (MLBOM’ler) devreye girdiği yer burasıdır. Çerçeve, bir ML modelini oluşturan varlıkların adlarını, konumlarını, sürümlerini ve lisanslarını izler. Ayrıca modelin doğası, meta verilere gömülü eğitim yapılandırmaları, modelin sahibi, çeşitli özellik setleri, donanım gereksinimleri ve daha fazlası hakkında kapsamlı bilgiler de içerir.
MLBOM’lar Neden Önemlidir?
CISO’lar, AI ve ML’nin farklı bir güvenlik modeli gerektirdiğini ve bunları çalıştıran temel eğitim verilerinin ve modellerinin sıklıkla izlenmediğini veya yönetilmediğini fark ediyor. MLBOM, bir kuruluşun güvenlik risklerinden ve hatalarından kaçınmasına yardımcı olabilir. Model ve veri kaynağı, güvenlik derecelendirmeleri ve SBOM kapsamının ötesine geçen dinamik değişiklikler gibi kritik faktörleri ele alır.
ML ortamları sürekli bir değişim halinde olduğundan ve değişiklikler çok az insan etkileşimi ile veya hiç insan etkileşimi olmadan gerçekleşebildiğinden, nereden geldiği, nasıl temizlendiği ve nasıl etiketlendiği dahil olmak üzere veri tutarlılığıyla ilgili sorunlar sürekli bir endişe kaynağıdır.
Örneğin, bir iş analisti veya veri bilimci bir veri kümesinin zehirlendiğini belirlerse MLBOM, tüm çeşitli temas noktalarını bulma ve bu verilerle eğitilmiş modeller.
MLBOM’lar Korumayı Artırabilir
Şeffaflık, denetlenebilirlik, kontrol ve adli içgörü bir MLBOM’un ayırt edici özellikleridir. Bir makine öğrenimi modelinde yer alan “bileşenlerin” kapsamlı bir görünümüne sahip bir kuruluş, makine öğrenimi modellerini güvenli bir şekilde yönetebilecek donanıma sahiptir.
Bir MLBOM çevresinde en iyi uygulama çerçevesi oluşturmanın bazı yolları şunlardır:
-
Bir MLBOM’a olan ihtiyacın farkına varın: ML’nin iş inovasyonunu ve hatta kesintiyi körüklediği bir sır değil. Ancak aynı zamanda itibar, mevzuat uyumluluğu ve yasal sorunlara kadar uzanan önemli riskleri de beraberinde getirir. ML modellerine ilişkin görünürlüğe sahip olmak kritik öneme sahiptir.
-
Gerekli durum tespitini gerçekleştirin: Bir MLBOM, CI/CD hattıyla entegre olmalı ve yüksek düzeyde netlik sağlamalıdır. JSON veya OWASP’ler gibi standart çerçeveler için destek SiklonDX SBOM ve MLBOM süreçlerini birleştirebilir.
-
Politikaları, süreçleri ve yönetişimi analiz edin: Bir MLBOM’u bir kuruluşun iş akışları ve iş süreçleriyle senkronize etmek çok önemlidir. Bu, siber güvenlik, veri gizliliği, uyumluluk ve riskle ilişkili diğer alanlarla ilgili riskleri en aza indirirken makine öğrenimi ardışık düzenlerinin amaçlandığı gibi çalışma olasılığını artırır.
-
Makine öğrenimi kapılarıyla bir MLBOM kullanın: Titiz kontroller ve ağ geçitleri, temel AI ve ML korkuluklarına yol açar. Bu şekilde işletme ve STK, daha fazla maliyet tasarrufu, performans kazanımı ve iş değeri elde etmek için başarıların üzerine inşa edebilir ve ML’den yararlanabilir.
Makine öğrenimi iş ve BT ortamını kökten değiştiriyor. Kanıtlanmış SBOM metodolojilerini MLBOM’lar aracılığıyla ML’ye genişleterek, makine öğrenimi performansını artırma ve verileri ve varlıkları korumaya yönelik dev bir adım atmak mümkündür.