Kuruluşunuz için doğru SBOM'u seçme

'SBOM nedir?' hızlı bir şekilde yetişmeniz gerekecek. Bir yazılım malzeme listesi, bilgisayar korsanlarını içeri almaya hazır, ağınıza açılan kilitli olmayan arka kapılar gibi pusuda bekleyebilecek yazılım güvenlik açıklarına karşı ilk savunma hattıdır.

“SBOM nedir?” hızlı bir şekilde yetişmeniz gerekecek. Bir yazılım malzeme listesi, bilgisayar korsanlarını içeri almaya hazır, ağınıza açılan kilitli olmayan arka kapılar gibi pusuda bekleyebilecek yazılım güvenlik açıklarına karşı ilk savunma hattıdır.

Herhangi bir malzeme listesi gibi bir SBOM, bitmiş ürünün bileşenlerini listeler, böylece bir sorun olması durumunda, geliştiriciler nedene odaklanabilir ve mümkün olduğunca az kesinti ile sorunu çözebilir. SBOM'lar, tedarik zinciri güvenliğinin temel taşıdır ve daha esnek ağları sürdürmek için daha güvenli DevOps ve daha iyi tehdit istihbaratı sağlar.

Bir fidye yazılımı çetesinin bir boru hattı operatörüne saldırarak ABD'deki yakıt dağıtımlarını aksatmasından iki yıl sonra, tedarik zinciri saldırıları güvenlik profesyonelleri için başlıca rahatsız edici olmaya devam ediyor. Saldırının ve Log4J güvenlik açığının keşfedilmesinin ardından, güvenlik profesyonelleri gelecekteki saldırıları önlemek için mücadele ederken SBOM'lar ana akım haline geldi.

SBOM'ların Yükselişi ve Federal Rehberlik

SBOM'lar bir an yaşıyor. Yakın tarihli RSA konferansı sırasında, federal hükümetin Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), mevcut farklı SBOM türleri ve bunların kullanımı hakkında bir kılavuz yayınladı.

CISA, özellikle 14028 Sayılı İcra Emri ve Federal hükümete hizmet veren yazılım geliştiriciler için bir raporlama formunun geliştirilmesini gerektiren Yönetim ve Bütçe Ofisi'nin M-22-18 numaralı notundan bu yana SBOM'lerin kullanımının destekçisi olmuştur. CISA, CBOM gelişimini desteklemek için endüstri türlerini bir araya getiren SBOM-a-Rama toplantıları düzenler.

CISA belgesi, 2018'de başlayan bir grup çalışmasının sonucudur ve birçok grup çalışması gibi, hantallaşabilir. Belgenin girişi, "SBOM verilerinin toplanabileceği farklı yollar göz önüne alındığında, araç çıktıları değişebilir ve farklı kullanım durumlarında değer sağlayabilir." Bunu göz önünde bulundurarak, bir kuruluş için hangisinin en yararlı olabileceğini netleştirmeye yardımcı olmak için mevcut SBOM türlerini ve bazı potansiyel kullanım durumlarını analiz etmek faydalı olacaktır.

6 Ana SBOM Türünün Kodunu Çözme

Yazılım geliştirme yaşam döngüsünün aşamaları boyunca ilerlerken günümüzde kullanılan altı ana SBOM türü vardır:

• Tasarım: Bu tür bir SBOM, olası veya planlanan yazılımlar için oluşturulur ve var olan veya olmayan bileşenleri içerir. Genellikle bir RFP'ye, konsepte veya spesifikasyonlara dayalı olarak geliştirilir. Teorik olarak mümkün olsa da, bunun nasıl yardımcı olabileceğini ve federal hükümetin desteklediği standartları karşılayacak makine tarafından okunabilen bir belgeyi nasıl oluşturabileceğini hayal etmek zor.

Bu tür bir SBOM için olası bir kullanım durumu, geliştiricileri, nihai ürünün fikri mülkiyetini veya dağıtımını etkileyecek belirli bileşenlerin kullanılması düşünüldüğünde ortaya çıkabilecek lisanslama sorunları konusunda uyarmaktır. Bu SBOM, geliştirme ekibinin uyumsuz öğeleri satın alınmadan önce belirlemesine ve onaylanan ve önerilen bileşenlerin bir listesini tanımlamasına yardımcı olabilir. Bu tür bir SBOM, ekibin iş açısından en iyi açık kaynaklı bileşenleri tedarik etmesini de sağlayabilir.

• Kaynak: Yapı tipi SBOM'ye çok benzer, bu, geliştirme ortamında oluşturulur ve bir yapı oluşturmak için gereken tüm kaynak dosyaları ve bağımlılıkları içerir, ancak oluşturma aracını sürecin dışında tutar. Genellikle yazılım kompozisyon analizi (SCA) aracı tarafından üretilir ve bazı açıklamalar manuel olarak eklenir.

Daha yaygın yapı türü SBOM yerine bu türün kullanım durumunu görmek zor. Yine de bu SBOM, dağıtımdan sonra asla çalıştırılmayan savunmasız bileşenleri tespit ederek ekibe dahil edilen bileşenlerin bağımlılık ağacını görme olanağı tanır. Bu nedenle, geliştirme sürecinin başlarında bilinen güvenlik açıklarının kaynağında düzeltilmesini sağlar.

Olumsuz tarafı, çalışma zamanı, eklenti veya uygulama sunucusu kitaplıkları gibi dinamik bileşenler dahil olmak üzere diğer SBOM türlerinin bazı ayrıntılarından yoksun olabilir.
 

• Derleme: En sık kullanılan SBOM türü, bu, son eseri çalıştıracak yazılımı oluşturma sürecinin bir parçası olarak oluşturulan daha eksiksiz bir envanterdir. Bu yaklaşım, kaynak dosyalar, bağımlılıklar, oluşturulmuş bileşenler, oluşturma işlemi geçici verileri ve önceki tasarım ve kaynak SBOM'ler gibi verileri kullanır. Yapı sistemindeki tüm bağımlılıkları çözmeye ve bunları yapı makinesinde taramaya dayanır.

Gerçek dosyalar tarandığından, bu tür bir SBOM, her dosya hakkında hash ve kaynak gibi zengin veriler içeren daha eksiksiz bir kayıt oluşturur. Kaynak kodundan elde edilenin ötesinde daha fazla görünürlük sağlamak, SBOM'un geliştirme sürecini doğru bir şekilde temsil ettiğine dair güven oluşturur. Bu güven, SBOM ile bitmiş ürünün aynı iş akışına entegre edilmesinden kaynaklanmaktadır.

Olumsuz tarafı, bu SBOM, bazen SBOM'u üretmek için değişmesi gerekebilen yapı ortamına çok bağımlıdır.

• Analiz edildi: Buna bazen "Üçüncü Taraf SBOM" veya ikili SCA denir. Bileşenlerini çözmek için eseri teslim edildiği şekliyle taramaya dayanır; ve paketler, kapsayıcılar ve sanal makine görüntüleri gibi yapıları analiz etmek için üçüncü taraf araçları kullanır. Derleme ortamına erişmesi gerekmez ve SBOM oluşturma araçlarının gözden kaçırdığı gizli bağımlılıkları bulmak için diğer kaynaklardan gelen SBOM verilerini iki kez kontrol edebilir.

Yapının bileşenlerini esasen tersine mühendislikle işlediğinden, bir SBOM'ye sahip olmayan veya mevcut bir SBOM'u doğrulayabilen yazılım tüketicileri için yararlı bir araç olabilir.

Olumsuz tarafı, bu tür SBOM, bileşenleri test etmek için genellikle bağlama dayalı daha gevşek buluşsal yöntemlere veya risk faktörlerine dayanır. Bu nedenle testler bazı yanlış pozitif sonuçlar verebilir. Ancak, OpenSSL libc veya SBOM'ler oluşturan diğerleri gibi, geliştirme ekibinin farkına varmadan ortamdan bağlanan kitaplıkların bulunması da daha olasıdır.
• Dağıtıldı: Adından da anlaşılacağı gibi, bu, sistemde dağıtılan yazılımların bir envanteridir ve genellikle SBOM'lerin ve kurulu yapıtların yapılandırma bilgilerinin derlenmesiyle oluşturulur. Konuşlandırılmış bir ortamda yapılandırma seçeneklerinin analizini ve yürütme davranışının incelemesini birleştirebilir. Bir uygulamayı çalıştıran diğer yapılandırmalar ve sistem bileşenleri dahil olmak üzere yazılım bileşenlerini incelemek yararlıdır.

Bu tür bir SBOM oluşturmak, yükleme ve dağıtma süreçlerinin değiştirilmesini gerektirebilir ve bazı bileşenlere erişilemeyebileceğinden, yapının çalışma zamanı ortamını her zaman yansıtmayabilir. Ancak bu tür SBOM'un geniş kapsamı, onu çekici bir seçenek haline getiriyor.

• Çalışma Zamanı: Bazen "Enstrümanlı" veya "Dinamik" SBOM olarak adlandırılan bu tür, dağıtılan SBOM'lardaki kör noktayı çözer. Bu durumda, araçlar sistemle etkileşime girer ve çalışan bir ortamda kullanılan ve yürütme sırasında belleğe yüklenen yapıtları kaydeder. Bu işlem, kullanılmayan bileşenlerden kaynaklanan yanlış pozitiflerden kaçınmaya yardımcı olur.

Bu tür bir SBOM, geliştiricilere dinamik olarak yüklenen bileşenler ve harici bağlantılar hakkında görünürlük sağlar ve onlara hangi bileşenlerin aktif olduğu ve hangi bölümlerinin kullanımda olduğu hakkında ayrıntılar verebilir. Sistemin çalışırken analiz edilmesi gerektiğinden, ağın ek yüküne katkıda bulunur. Tam işlevselliğini kullanmak için bir süre çalışıyor olması gerektiğinden, ayrıntılı bilgi toplamak biraz zaman alabilir.

SBOM'ları Seçmeyle İlgili Son Düşünceler

Bu ayrıntıları göz önünde bulundurarak, kuruluşunuzun ihtiyaçlarına hizmet edecek doğru türde veya SBOM kombinasyonunu seçmek, yalnızca uyumluluk amacıyla mevcut olan ilk SBOM oluşturma aracını seçmekten daha fazla düşünmeyi gerektirir.

Federal hükümetin desteği göz önüne alındığında, SBOM şüphesiz burada kalacaktır ve yazılım ürünlerinin güvenliğinin ara sıra kaotik olan sürecine düzen getirerek sağlam bir temel oluşturabilir.