Zagrożenia związane z oprogramowaniem mają tylko jeden wymiar: katastroficzny
Czym jest lista materiałowa oprogramowania (SBOM)?
Oprogramowanie stanowi coraz bardziej kluczowy element współczesnych produktów, dlatego też znajomość jego komponentów nabiera wyjątkowego znaczenia. Oprogramowanie jest często przedstawiane jako pojedynczy komponent na liście EBOM lub MBOM, bez uwzględniania jego komponentów składowych. Na liście materiałowej SBOM należy zidentyfikować wszystkie komponenty składające się na oprogramowanie oraz środowisko, w którym to oprogramowanie zostało zbudowane. Lista materiałowa SBOM umożliwia identyfikację i zawiera listę komponentów składających się na tworzone oprogramowanie, w tym istotne metadane dotyczące poszczególnych komponentów oraz struktury relacji między nimi.
Identyfikacja zagrożeń i podatności oprogramowania przy użyciu listy materiałowej SBOM
Kluczowym elementem ochrony organizacji przed lukami w zabezpieczeniach jest łatwy dostęp do komponentów składających się na oprogramowanie. Lista materiałowa SBOM stanowi podstawę do identyfikacji zagrożeń i podatności, które mogą znaleźć się w oprogramowaniu, dzięki ciągłemu porównywaniu jej pozycji z opublikowanymi bazami danych podatności. Praktycznie w każdej branży zidentyfikowanie zagrożeń i podatności w oprogramowaniu oraz reagowanie na nie jest istotną umiejętnością.
Lista materiałowa SBOM i narzędzia do zarządzania cyklem życia aplikacji (ALM)
Generowanie listy materiałowej SBOM stanowi element potoku działań ciągłej integracji / ciągłego wdrażania (CI/CD), zarządzanego jako integralny proces w ramach domeny zarządzania cyklem życia aplikacji (ALM). Procesy ALM zapewniają kompleksowe funkcje śledzenia w całym cyklu życia produktu.
Zarządzanie zagrożeniami i podatnościami oprogramowania obejmuje konieczność zidentyfikowania ryzyka i opracowania wymagań dotyczących jego ograniczenia. Wymagania dotyczące zarządzania ryzykiem są bezpośrednio powiązane z komponentami metadanych skutkującymi wygenerowaniem listy materiałowej SBOM. Taka możliwość śledzenia, w połączeniu z weryfikacją w bazie danych podatności, tworzy rozwiązanie w pętli zamkniętej służące do zarządzania zagrożeniami i podatnościami oprogramowania.