Программное обеспечение спецификация [1] (SBOM) представляет собой список компонентов в части программного обеспечения . Поставщики программного обеспечения часто создают продукты, собирая программные компоненты с открытым исходным кодом и коммерческие программные компоненты. SBOM описывает компоненты продукта. [2] [3] Он аналогичен списку ингредиентов на упаковке пищевых продуктов.
Концепция спецификации хорошо зарекомендовала себя в традиционном производстве как часть управления цепочкой поставок . [4] Производитель использует спецификацию для отслеживания деталей, которые он использует для создания продукта. Если дефекты позже обнаруживаются в определенной детали, спецификация позволяет легко найти затронутые продукты.
SBOM полезен как для разработчика (производителя), так и для покупателя (заказчика) программного продукта. Строители часто используют доступные программные компоненты с открытым исходным кодом и сторонние программные компоненты для создания продукта; SBOM позволяет разработчику убедиться, что эти компоненты обновлены, и быстро реагировать на новые уязвимости. [5] Покупатели могут использовать SBOM для выполнения анализа уязвимостей или лицензий, оба из которых могут использоваться для оценки риска в продукте. Хотя многие компании используют Microsoft Excel [6] для общего управления спецификациями, существуют дополнительные риски и проблемы при использовании электронной таблицы для SBOM. SBOM приобретают большую ценность, когда они все вместе хранятся в репозитории, который может быть легко запрошен другими приложениями и системами.
Понимание цепочки поставок программного обеспечения, получение SBOM и его использование для анализа известных уязвимостей имеют решающее значение для управления рисками . [7] [8] [9]
Закон об управлении цепочками поставок и прозрачности в киберпространстве от 2014 года [10] был законодательным актом США, в котором предлагалось потребовать от государственных учреждений получать SBOM для любых новых продуктов, которые они покупают. Это также потребовало бы получения SBOM для «любого программного обеспечения, микропрограмм или продуктов, используемых правительством США». Хотя в конечном итоге он не прошел, этот закон все же привлек внимание правительства и стимулировал принятие последующих законов, таких как «Закон о повышении кибербезопасности Интернета вещей от 2017 года». [11] [12]
Рекомендации
- ^ «Программное обеспечение Bill of Materials» . ntia.gov . Проверено 25 января 2021 .
- ^ «Безопасность мобильного мира» (PDF) . Crosstalkonline.org . Проверено 12 июня 2015 .
- ^ «[Часть 2] Кодекс, автомобили и Конгресс: время для управления цепочкой поставок в киберпространстве» . Проверено 12 июня 2015 .
- ^ «Кодекс, автомобили и конгресс: время для управления цепочкой поставок в киберпространстве» . Проверено 12 июня 2015 .
- ^ «Спецификация программного обеспечения улучшает управление интеллектуальной собственностью» . Проектирование встроенных вычислений . Проверено 12 июня 2015 .
- ^ «Использование Excel для управления ведомостью материалов» . Проверено 2 августа 2018 .
- ^ «Соответствующие типы контроля безопасности программного обеспечения для сторонних поставщиков услуг и продуктов» (PDF) . Docs.ismgcorp.com . Проверено 12 июня 2015 .
- ^ «Top 10 2013-A9-Использование компонентов с известными уязвимостями» . Проверено 12 июня 2015 .
- ^ «Риски кибербезопасности в цепочке поставок» (PDF) . Cert.gov.uk . Проверено 28 июля 2020 .
- ^ «HR5793 - 113-й Конгресс (2013–2014 гг.): Закон об управлении цепочками поставок и прозрачности в киберпространстве от 2014 г. - Congress.gov - Библиотека Конгресса» . Проверено 12 июня 2015 .
- ^ «Закон о совершенствовании кибербезопасности Интернета вещей от 2017 года» (PDF) . Проверено 26 февраля 2020 .
- ^ «Закон о повышении кибербезопасности от 2017 года: Призрак Конгресса в прошлом» . Проверено 26 февраля 2020 .