Skip to Main Content
Artykuł techniczny

Zagrożenia związane z oprogramowaniem mają tylko jeden wymiar: katastroficzny

Luki w oprogramowaniu przypominają nieco góry lodowe. Kod źródłowy oprogramowania, stanowiący czubek góry lodowej, jest doskonale widoczny dla pracującego nad nim zespołu programistów. Jednak analogicznie do góry lodowej, znacząca część każdego produktu programistycznego pozostaje ukryta przed wzrokiem programistów. Zespół programistów ma pełny wgląd w opracowywany kod. Poza kodem źródłowym zarządzanym przez zespół programistów typowe kompilacje oprogramowania zawierają kod źródłowy i obiekty pochodzące z zewnętrznych bibliotek, projektów na licencjach otwartych oraz od innych dostawców. Wiele z tych informacji jest niedostępnych dla zespołu zajmujących się rozwojem oprogramowania.

Czym jest lista materiałowa oprogramowania (SBOM)?

Oprogramowanie stanowi coraz bardziej kluczowy element współczesnych produktów, dlatego też znajomość jego komponentów nabiera wyjątkowego znaczenia. Oprogramowanie jest często przedstawiane jako pojedynczy komponent na liście EBOM lub MBOM, bez uwzględniania jego komponentów składowych. Na liście materiałowej SBOM należy zidentyfikować wszystkie komponenty składające się na oprogramowanie oraz środowisko, w którym to oprogramowanie zostało zbudowane. Lista materiałowa SBOM umożliwia identyfikację i zawiera listę komponentów składających się na tworzone oprogramowanie, w tym istotne metadane dotyczące poszczególnych komponentów oraz struktury relacji między nimi.

Identyfikacja zagrożeń i podatności oprogramowania przy użyciu listy materiałowej SBOM

Kluczowym elementem ochrony organizacji przed lukami w zabezpieczeniach jest łatwy dostęp do komponentów składających się na oprogramowanie. Lista materiałowa SBOM stanowi podstawę do identyfikacji zagrożeń i podatności, które mogą znaleźć się w oprogramowaniu, dzięki ciągłemu porównywaniu jej pozycji z opublikowanymi bazami danych podatności. Praktycznie w każdej branży zidentyfikowanie zagrożeń i podatności w oprogramowaniu oraz reagowanie na nie jest istotną umiejętnością.

Lista materiałowa SBOM i narzędzia do zarządzania cyklem życia aplikacji (ALM)

Generowanie listy materiałowej SBOM stanowi element potoku działań ciągłej integracji / ciągłego wdrażania (CI/CD), zarządzanego jako integralny proces w ramach domeny zarządzania cyklem życia aplikacji (ALM). Procesy ALM zapewniają kompleksowe funkcje śledzenia w całym cyklu życia produktu.

Zarządzanie zagrożeniami i podatnościami oprogramowania obejmuje konieczność zidentyfikowania ryzyka i opracowania wymagań dotyczących jego ograniczenia. Wymagania dotyczące zarządzania ryzykiem są bezpośrednio powiązane z komponentami metadanych skutkującymi wygenerowaniem listy materiałowej SBOM. Taka możliwość śledzenia, w połączeniu z weryfikacją w bazie danych podatności, tworzy rozwiązanie w pętli zamkniętej służące do zarządzania zagrożeniami i podatnościami oprogramowania.

Udostępnij