Yazılım uygulamaları oluşturuyorsanız, SBOM’lara veya yazılım malzeme listelerine aşinasınızdır veya aşina olmalısınız. SBOM’ları uygulamanızdaki bileşenlerin bir listesi olarak düşünün. Log4Shell ve Spring4Shell gibi son yazılım tedarik zinciri açıklarının ardından kuruluşların doğru SBOM’lar oluşturması ve sürdürmesi aciliyeti arttı. Ayrıca, ABD hükümetiyle iş yapıyorsanız, SolarWinds saldırısının geniş kapsamlı yankılarına yanıt olarak Beyaz Saray tarafından yayınlanan Mayıs 2021 Yürütme Kararı’na dayalı olarak doğru ve güncel bir SBOM artık bir gerekliliktir. .
Göre Gartner, “2025’e kadar, kritik altyapı yazılımları oluşturan veya tedarik eden kuruluşların %60’ı, yazılım mühendisliği uygulamalarında SBOM’ları zorunlu kılacak ve standartlaştıracak, bu oran 2022’de %20’den az olacak.” Gartner ayrıca, “yazılım malzeme listeleri (SBOM’ler) verilerinin ilgili yazılım artefaktları ile senkronize tutulmasının önemli bir zorluk teşkil ettiğini” kabul ediyor.1
Kuruluşlar bu tür pazar dinamiklerine ayak uyduruyor mu? Yakın zamanda bir Tidelift anket
kuruluşların yalnızca %37’sinin güvenlik ve SBOM’larla ilgili yeni devlet yazılım tedarik zinciri gereksinimlerinin farkında olduğunu gösteriyor. Bu kuruluşlardan sadece %20’si çoğu için SBOM kullanıyor veya bugün tüm uygulamalar.
Bununla birlikte, değişim hızla geliyor: Ankete göre, kuruluşların büyük çoğunluğu -% 78 – en azından bazı uygulamalarda SBOM’ları zaten kullanıyor veya önümüzdeki yıl içinde kullanmayı planlıyor.
Açık Kaynak, SBOM Sorunlarını Karmaşıklaştırıyor
SBOM’lar geliştirmek zor olabilir, ancak uygulamalarınızda açık kaynak bileşenleri kullanıyorsanız – çoğu modern yazılım geliştirme ekibinin yaptığı gibi – o zaman bir SBOM oluşturma ve onu güncel tutma süreci, geçişli bağımlılıkların etkisi nedeniyle daha da karmaşık hale gelir. .
Diğer açık kaynak bileşenlerinin güvendiği açık kaynak bileşenleri, geçişli bağımlılıkların izini sürmek zor olabilir. Örneğin, Log4Shell’den etkilenen birçok kuruluş, geçişli bağımlılıklar yoluyla geldiği için maruz kaldıklarının hemen farkında değildi. Bu nedenle, SBOM’unuzun yalnızca doğrudan açık kaynak bağımlılıklarını değil, aynı zamanda geçişli bağımlılıkları da tanımlaması çok önemlidir.
Ek olarak, geliştiriciler uygulamalara gelişmiş işlevsellik sağlamak için sürekli olarak kod taahhüdünde bulunduklarından, SBOM’lerin dinamik olması ve açık kaynaklı yazılım tedarik zincirinde yukarı ve aşağı açık kaynak bileşenlerindeki değişiklikleri yakalaması kritik önem taşır.
Sonuç: SBOM’ları Ele Alın
Yazılım tedarik zincirlerinin bütünlüğünü sağlamak için SBOM’ların kullanımı daha yaygın hale gelecek ve genellikle gerekli olacaktır. Kuruluşunuzun geliştirdiği ve sunduğu uygulamalar için doğru ve güncel SBOM’lar sunduğundan emin olmak için, yalnızca içerik listenize değil, aynı zamanda malzemelerinizin kullandığı malzemelere de hakim olmak önemlidir.
1 Gartner, “Innovation Insight for SBOMs,” Manjunath Bhat, Dale Gardner, Mark Horvath, 14 Şubat 2022. GARTNER, Gartner, Inc. ve/veya ABD’deki ve uluslararası iştiraklerinin tescilli ticari markası ve hizmet markasıdır ve burada izin. Tüm hakları Saklıdır.
