چرا CISO ها باید صورتحساب های مواد نرم افزاری (SBOM) را در اولویت اول خود در سال 2023 قرار دهند؟


جلسات درخواستی از اجلاس Low-Code/No-Code را بررسی کنید تا بیاموزید چگونه با ارتقاء مهارت و مقیاس‌بندی توسعه‌دهندگان شهروند، نوآوری موفقیت‌آمیز و دستیابی به کارایی داشته باشید. الان ببین.


زنجیره‌های تامین نرم‌افزار اهداف نرمی برای مهاجمانی هستند که به دنبال سرمایه‌گذاری بر عدم شفافیت، دید و امنیت کتابخانه‌های منبع باز هستند که برای جاسازی کدهای مخرب برای توزیع گسترده استفاده می‌کنند. علاوه بر این، زمانی که شرکت‌ها نمی‌دانند کتابخانه‌های کد یا بسته‌های مورد استفاده در نرم‌افزارشان از کجا سرچشمه می‌گیرد، خطرات امنیتی و انطباق بیشتری ایجاد می‌کند.

آخرین گزارش تحلیل ریسک و امنیت منبع باز Synopsys نشان داد که 97٪ کدهای تجاری حاوی کد منبع باز و 81٪ حداقل دارای یک آسیب پذیری هستند. علاوه بر این، 53 درصد از پایگاه های کد تجزیه و تحلیل شده دارای تضاد مجوز بودند و 85 درصد حداقل چهار سال از تاریخ گذشته بودند.

معمولاً تیم های توسعه از کتابخانه ها و بسته های موجود در GitHub و دیگر مخازن کد استفاده می کنند. صورتحساب‌های مواد نرم‌افزاری (SBOM) برای پیگیری هر نرم‌افزار منبع باز (OSS) و کتابخانه مورد استفاده در فرآیند توسعه، از جمله زمانی که وارد چرخه عمر توسعه نرم‌افزار (SDLC) می‌شود، مورد نیاز است.

تامین امنیت زنجیره های تامین نرم افزار

رهبران توسعه نرم افزار باید اقدام کنند و SBOM ها را در سراسر SDLC و گردش کار خود ادغام کنند تا از خطر خراب کردن کدهای Log4j و مؤلفه های OSS آلوده مشابه آنها جلوگیری کنند و سیستم مشتریان خود را آلوده کنند. تجزیه و تحلیل ترکیب نرم‌افزار (SCA) و SBOM‌هایی که آنها ایجاد می‌کنند، ابزارهایی را برای تیم‌های توسعه‌دهنده فراهم می‌کنند که برای ردیابی مکان‌هایی که اجزای منبع باز استفاده می‌شوند، نیاز دارند. یکی از اهداف حیاتی پذیرش SBOM ها، ایجاد و نگهداری موجودی در محل و نحوه استفاده از هر جزء منبع باز است.

رویداد

اجلاس امنیت هوشمند

نقش حیاتی AI و ML در امنیت سایبری و مطالعات موردی خاص صنعت را در 8 دسامبر بیاموزید. امروز برای پاس رایگان خود ثبت نام کنید.

اکنون ثبت نام کنید

جانت ورتینگتون، تحلیلگر ارشد در Forrester، در مصاحبه اخیر با VentureBeat گفت: «فقدان شفافیت در مورد خرید، خرید و استقرار نرم‌افزارهای سازمان‌ها بزرگترین مانع در بهبود امنیت زنجیره تأمین است.

فرمان اجرایی 14028 کاخ سفید در مورد بهبود امنیت سایبری کشور، فروشندگان نرم افزار را ملزم به ارائه SBOM می کند. EO 14028 با الزام NTIA، NIST و سایر سازمان‌های دولتی، شفافیت و دید بیشتری را در فرآیند خرید و تدارک نرم‌افزار در طول چرخه عمر محصول خود فراهم می‌کند، بر روی رفع کمبود دیده شدن زنجیره تامین نرم‌افزار تمرکز دارد.

علاوه بر این، دستور اجرایی الزام می‌کند که سازمان‌های عرضه‌کننده نرم‌افزار باید اطلاعاتی را نه تنها در مورد تأمین‌کنندگان مستقیم، بلکه تأمین‌کنندگان تأمین‌کنندگان خود، تأمین‌کنندگان ردیف 2، ردیف 3 و ردیف n ارائه دهند. مرکز منابع نرم افزاری لایحه مواد آژانس امنیت سایبری و امنیت زیرساخت (CISA) نیز منابع ارزشمندی را برای CISO ها فراهم می کند تا در SBOM ها سرعت بگیرند.

EO 14028 در 14 سپتامبر سال جاری با یادداشتی که توسط مدیر دفتر مدیریت و بودجه (OMB) به روسای ادارات و سازمان‌های قوه مجریه تنظیم شده بود، پیگیری شد تا نیاز به افزایش امنیت زنجیره تامین نرم‌افزار فدرال بیشتر شود. بیش از آنچه که فرمان اجرایی خواسته بود.

مت رز، از بخش CISO ReversingLabs گفت: “ترکیب دستور اجرایی و یادداشت به این معنی است که SBOM ها در آینده نه چندان دور مهم خواهند بود.” نکته قابل توجه در مورد این یادداشت این است که آژانس‌ها را ملزم می‌کند تا از ارائه‌دهندگان نرم‌افزار خود تأیید کنند که تیم‌های توسعه‌دهنده آن‌ها فرآیندهای توسعه امن تعریف‌شده در چارچوب توسعه نرم‌افزار امن NIST (SP 800-218) و راهنمای امنیت زنجیره تأمین نرم‌افزار NIST را دنبال کنند.

منبع: مک‌کینزی و شرکت، لایحه مواد نرم‌افزار: مدیریت ریسک‌های امنیت سایبری نرم‌افزار، سپتامبر 2022.

SBOM به ایجاد کد قابل اعتماد در مقیاس کمک می کند

ادغام SBOM ها در سراسر فرآیندهای توسعه، بیش از انطباق با EO 14028، تضمین می کند که هر شریک پایین دستی، مشتری، سازمان پشتیبانی و نهاد دولتی، برنامه های قابل اعتماد ساخته شده بر اساس کد محکم و ایمن را دریافت می کند. SBOM ها بیشتر از محافظت از کد انجام می دهند. آنها همچنین از برندها و شهرت سازمان های ارسال کننده نرم افزار در سطح جهانی، به ویژه برنامه ها و پلتفرم های مبتنی بر وب محافظت می کنند.

بی اعتمادی فزاینده ای به هر کدی که مستند نیست، به ویژه از سوی سازمان های خرید و تدارکات دولتی وجود دارد. چالش بسیاری از ارائه دهندگان نرم افزار، دستیابی به یک استراتژی شیفت چپ موفق تر در هنگام ادغام SBOM و SCA در فرآیند یکپارچه سازی/تحویل پیوسته (CI/CD) آنها است. امنیت Shift-left به دنبال بستن شکاف هایی است که مهاجمان برای تزریق کد مخرب به محموله ها به دنبال آن هستند.

CISOها و CIOها به طور فزاینده ای متوجه می شوند که برای حرکت سریع و دستیابی به اهداف تجاری، تیم ها باید فرهنگ توسعه ایمن را در آغوش بگیرند. توسعه یک خط لوله توسعه خودکار به تیم ها اجازه می دهد تا به طور مکرر و با اطمینان مستقر شوند، زیرا تست های امنیتی از مراحل اولیه تعبیه شده است. ورثینگتون توصیه کرد که در نتیجه یک مشکل امنیتی که به سمت تولید فرار می کند، داشتن یک خط لوله قابل تکرار امکان بازگرداندن کد متخلف را بدون تأثیرگذاری بر سایر عملیات ها فراهم می کند.

منبع: McKinsey and Company.

CISO همچنین باید در حال حاضر با تعاریف رسمی SBOM ها آشنا شوند، به خصوص اگر آنها بخشی از یک زنجیره تامین نرم افزار هستند که برنامه های کاربردی را در اختیار دولت فدرال قرار می دهد. استانداردهای رسمی شامل تبادل داده بسته نرم افزاری (SPDX)، برچسب شناسه نرم افزاری (SWID) و CycloneDX است. از این میان، CycloneDX رایج ترین استاندارد مورد استفاده است. هدف این استانداردها ایجاد یک قالب تبادل داده و یک زیرساخت مشترک است که جزئیات هر بسته نرم افزاری را به اشتراک می گذارد. در نتیجه، سازمان‌هایی که این استانداردها را اتخاذ می‌کنند، متوجه می‌شوند که در رفع و حل قطعی‌ها در زمان صرفه‌جویی می‌کنند و در عین حال همکاری و سرعت انجام پروژه‌های مشترک را افزایش می‌دهند.

برای SBOM ها، انطباق فقط شروع است

EO 14028 و یادداشت متعاقب آن تنها آغاز الزامات انطباق است که تیم های توسعه دهنده و سازمان های آنها باید از آنها پیروی کنند تا بخشی از زنجیره تامین نرم افزار دولت فدرال باشند. الزامات SBOM از کمیسیون تنظیم مقررات انرژی فدرال (FERC)، سازمان غذا و دارو (FDA) و آژانس امنیت سایبری اتحادیه اروپا (ENISA) نیز اکنون به قابلیت مشاهده و ردیابی SBOM به عنوان پیش نیاز برای انجام تجارت نیاز دارند. با تبدیل شدن SBOM ها به این که چگونه دولت های ایالات متحده و اروپا تعیین می کنند با چه کسی و چگونه تجارت کنند، CISO ها باید این حوزه را در سال 2023 در اولویت قرار دهند.

ماموریت VentureBeat این است که یک میدان شهر دیجیتال برای تصمیم گیرندگان فنی باشد تا دانشی در مورد فناوری سازمانی متحول کننده کسب کنند و معامله کنند. جلسات توجیهی ما را کشف کنید.