Softwarearen material-faktura: gardentasun handiagoa ziber-mehatxuak arintzeko

• Egilea:
• Egilearen izena

  Quantumrun Prospektiba
• June 10, 2022

Ikuspegiaren laburpena

Software Bills of Materials (SBOM) bultzatzeak zibersegurtasun nazionala sendotzea du helburu, software proiektuetan osagaien zerrenda zehatzak eskatuz. Ekimen honek software eta hardware taldeen arteko lankidetza hobetzeaz gain, aukera berriak irekitzen ditu prestakuntzan, betetzean eta aholkularitzan. Hala ere, erronkak ere planteatzen ditu, hala nola, bat ez datozen software-saltzaileentzako merkatu-bazterketa potentziala eta etengabeko moldagarritasun legegilearen beharra.

Softwarearen fakturaren testuingurua

Joe Biden AEBetako presidenteak 2021eko maiatzean neurriak hartu zituen herrialdean zibersegurtasunaren inguruko kezka gero eta handiagoak konpontzeko, eta agindu exekutibo bat eman zuen software saltzaileek kontratazio agente federalak software-faktura (SBOM) hornitzeko agintzen duena. Mugimendu honek herrialdeko zibersegurtasun neurriak indartzea eta gobernu federalaren sareak babestea ditu. Agindua nazionalaren arreta erakarri zuten goi mailako zibereraso batzuen erantzuna eman zen, segurtasun-protokoloak hobetzeko premiazko beharra nabarmenduz.

Teknologia digitalean dugun mendekotasuna areagotzeak erakunde publiko zein pribatuak zaurgarriagoak bihurtu ditu zibererasoen aurrean. Gai honi aurre egiteko, agindu exekutiboak SBOMen garrantzia azpimarratzen du, funtsean software proiektuetan erabiltzen diren osagaien zerrenda zehatzak baitira. Zerrenda hauek osagai bakoitzaren bertsioak, uneko adabakien egoera, izan ditzaketen lizentziak eta kode irekiko liburutegiak sartzen dituzten ala ez, besteak beste, informazioa biltzen dute.

Xehetasun-maila hori emanez, SBOM-ek erakundeek ahultasun posibleak identifikatzea eta prebentzio-neurriak erraztea dute helburu. Esaterako, 2021eko maiatzean Houstonen (Texas) Colonial Pipelineren aurkako erasoak erregai hornidura eten zuen eta ia astebete behar izan zuen konpontzeko. SBOMek horrelako gertakariei aurre egiteko behar den denbora murriztea dute helburu, softwarearen osagaien inbentario argia eskainiz, ahultasunak identifikatzeko eta konpontzeko eraginkorragoa izan dadin. Hori bereziki funtsezkoa da azpiegitura fisikoa kontrolatzen duten sistemetarako, non zibereraso batek berehalako eta zabaleko ondorioak izan ditzakeen.

Eragin disruptiboa

SBOM-en bultzadak industria-estandar bat sortzea du helburu, interes-talde zabalek onartu dezaketena, software-garatzaileetatik hasi eta hardware-ekoizleetaraino. Ekimen honek talde hauek produktuak diseinatzeko eta eraikitzeko orduan elkarrekin estuago lan egitera bultzatzen ditu. Ekosistema digital osoaren ikuspegi zentralizatua eskainiz, SBOMek proiektu baten alderdi guztietan ikusgarritasuna eskaintzen dute, erabilitako tresna digitalak edozein direla ere. 

SBOM-ak hartzeak hardware eta software taldeen arteko komunikazioa eta koordinazioa nabarmen hobetzeko aukera du. Denbora errealeko datuak eta gardentasuna eskainiz, SBOMak tresna eraginkorra izan daitezke segurtasun ahulguneak identifikatzeko eta konpontzeko, ziberkriminalek edo beste aktore etsai batzuek ustiatu aurretik. SBOMen denbora errealeko izaera hau zibersegurtasunean joko-aldaketa bat izan liteke, erantzun azkarragoak eta neurri proaktiboagoak ahalbidetuz. Software erabiltzaile eta saltzaileentzat, horrek erabiltzen edo saltzen dituzten produktuen segurtasunean konfiantza handiagoa dakar.

SBOMen mandatu federalak ere bide berriak irekiko ditu prestakuntza, betetze eta zibersegurtasun aholkularitzan. Honek aukera bat sortzen du software plataformaren saltzaileek gobernu federalaren eskakizunetara bereziki egokitutako produktu-lerro berriak garatzeko. Produktu espezializatu hauek beste sektore batzuen estandar berri bihur litezke, industria guztietan zibersegurtasun neurrien hobekuntzaren eragina eraginez. 

SBOMen ondorioak

SBOMen ondorio zabalagoak izan daitezke: 

• Software-lizentzien gaineko arauzko gobernantza hobetua, softwarearen erabilera eta banaketa gardenagoa eta legez betetzen duena.
• Beste gobernu nazionalek SBOM legedia onartzen dute beren etxeko zibersegurtasuna indartzeko eta AEBekin integrazio ekonomikoa hobetzeko.
• Software-saltzaileek ezin dute SBOM bat ekoitzi merkatuetatik kanpo ez betetzeagatik, merkatuan sartzeko langa igoz.
• Merkataritza-enpresek beren SBOM eskakizunak ezartzen dizkiete saltzaileei, gobernuen zuzentarauekin bat eginez, beren sistema digitalen iraunkortasuna, fidagarritasuna eta segurtasuna hobetzeko.
• Zibersegurtasuneko aholkularitza-enpresentzako negozio-ereduen aldaketa, SBOM betetzeari eta ikuskaritzari arreta gehiago jarriz, diru-sarrera berriak sortuz.
• Lan aukerak areagotu zibersegurtasunaren eta softwarearen auditoretzaren alorretan, SBOM eskakizunak nabiga ditzaketen adituen eskaria hazten doan heinean.
• Azken erabiltzaileentzako software-kostuen igoera potentziala, enpresek SBOM betetzearekin lotutako gastuak kontsumitzaileei hel ditzaketelako.
• SBOM legedia eguneratuta mantentzeko erronkei aurre egiten die politika arduradunek, azkar eboluzionatzen ari diren zibersegurtasun mehatxu eta teknologietara egokitu behar baitute.

Kontuan hartu beharreko galderak

• Biden administrazioak SBOMei buruzko agindu exekutiboak aktibo federalen aurkako zibereraso bati erantzuten ziola kontuan hartuta, uste duzu SBOMek zibererasoen maiztasuna eta hedadura murriztu ditzaketela aurrerantzean?
• SBOMek software produktu baten osaerari eta diseinuari buruzko informazio eta xehetasun korapilatsuak eskaintzen dituztenez, SBOMek beraiek segurtasun mehatxu bat adierazten al dute aktore etsaiak haietara sar daitezkeen? Nola ekidin daiteke eszenatoki hau?