Softwarelist fan materialen: gruttere transparânsje om cyberbedrigingen te ferminderjen

• Skriuwer:
• Namme fan auteur

  Quantumrun Foresight
• June 10, 2022

Ynsjoch gearfetting

De push foar Software Bills of Materials (SBOM's) is fan doel de nasjonale cyberfeiligens te fersterkjen troch detaillearre listen fan komponinten yn softwareprojekten te easkjen. Dit inisjatyf fersterket net allinich gearwurking tusken software- en hardwareteams, mar iepenet ek nije kânsen yn training, neilibjen en konsultaasje. It ropt lykwols ek útdagings op, lykas potinsjele merkútsluting foar net-konforme softwareferkeapers en de needsaak foar trochgeande wetjouwende oanpassingsfermogen.

Software bill of materialen kontekst

Amerikaanske presidint Joe Biden naam yn maaie 2021 aksje om de tanimmende soargen oer cyberfeiligens yn it lân oan te pakken, en joech in útfierende oarder út dy't softwareferkeapers mandaat om federale oankeapaginten te leverjen fan in software bill of materials (SBOM). Dizze beweging hat as doel de maatregels foar cyberfeiligens fan it lân te fersterkjen en de netwurken fan 'e federale regearing te beskermjen. De oarder kaam yn reaksje op in searje hege-profyl cyberoanfallen dy't lanlike oandacht lutsen, en markearje de driuwende needsaak foar ferbettere feiligensprotokollen.

De opkomst yn ús ôfhinklikens fan digitale technology hat sawol publike as partikuliere organisaasjes kwetsber makke foar cyberoanfallen. Om dit probleem oan te pakken, beklammet de útfierende oarder it belang fan SBOM's, dy't yn wêzen detaillearre listen binne fan komponinten brûkt yn softwareprojekten. Dizze listen omfetsje ynformaasje lykas de ferzjes fan elke komponint, har hjoeddeistige patchstatus, alle lisinsjes dy't se hawwe, en oft se iepen boarne bibleteken omfetsje.

Troch dit detailnivo te leverjen, binne SBOM's fan doel it makliker te meitsjen foar organisaasjes om potinsjele kwetsberens te identifisearjen en previntive maatregels te nimmen. Bygelyks, de oanfal fan maaie 2021 op 'e Colonial Pipeline yn Houston, Texas, fersteurde brânstoffoarrieden en naam hast in wike om op te lossen. SBOM's binne fan doel de tiid te ferminderjen dy't nedich is om sokke ynsidinten oan te pakken troch in dúdlike ynventarisaasje fan softwarekomponinten te leverjen, wêrtroch effisjintere identifikaasje en sanearring fan kwetsberens mooglik is. Dit is benammen krúsjaal foar systemen dy't fysike ynfrastruktuer kontrolearje, wêr't in cyberoanfal direkte en yngripende gefolgen kin hawwe.

Disruptive ynfloed

De push foar SBOM's is fan doel in yndustrystandert te meitsjen dy't koe wurde oannommen troch in breed skala oan belanghawwenden, fan software-ûntwikkelders oant hardwarefabrikanten. Dit inisjatyf stimulearret dizze teams om mear gear te wurkjen by it ûntwerpen en bouwen fan produkten. Troch in sintralisearre werjefte fan it hiele digitale ekosysteem oan te bieden, jouwe SBOM's sichtberens yn alle aspekten fan in projekt, nettsjinsteande de brûkte digitale ark. 

It oannimmen fan SBOM's hat it potensjeel om kommunikaasje en koördinaasje tusken hardware- en softwareteams signifikant te ferbetterjen. Troch realtime gegevens en transparânsje te leverjen, kinne SBOM's tsjinje as in effektyf ark foar it identifisearjen en oanpakken fan feiligens kwetsberens foardat se kinne wurde eksploitearre troch cyberkriminelen of oare fijannige akteurs. Dizze real-time aard fan SBOM's kin in spultsje-wikseler wêze yn cyberfeiligens, wêrtroch rappere antwurden en mear proaktive maatregels kinne wurde. Foar software brûkers en leveransiers betsjut dit grutter fertrouwen yn 'e feiligens fan' e produkten dy't se brûke of ferkeapje.

It federale mandaat foar SBOM's sil ek wierskynlik nije wegen iepenje yn training, neilibjen en cybersecurity-konsultaasje. Dit skept in kâns foar leveransiers fan softwareplatfoarms om nije produktlinen te ûntwikkeljen dy't spesifyk oanpast binne foar easken fan 'e federale oerheid. Dizze spesjalisearre produkten kinne dan de nije standert wurde foar oare sektoaren, wat liedt ta in rimpeleffekt fan ferbettere maatregels foar cyberfeiligens yn alle yndustry. 

Gefolgen fan SBOMs

Bredere gefolgen fan SBOM's kinne omfetsje: 

• Ferbettere regeljouwing bestjoer oer software lisinsjes dy't liedt ta mear transparant en wetlik konform gebrûk en distribúsje fan software.
• Oare nasjonale regearingen dy't SBOM-wetjouwing oannimme om har ynlânske cyberfeiligens te fersterkjen en ekonomyske yntegraasje mei de FS te ferbetterjen
• Softwareferkeapers dy't net yn steat binne om in SBOM te produsearjen dy't útsletten is fan merken fanwegen net-neilibjen, wêrtroch't de lat foar merkyngong ferheget.
• Kommersjele bedriuwen dy't har eigen SBOM-easken ynstelle foar leveransiers, yn oerienstimming mei regearingsrjochtlinen om de duorsumens, betrouberens en feiligens fan har digitale systemen te ferbetterjen.
• In ferskowing yn bedriuwsmodellen foar cybersecurity-advysbedriuwen, mear fokusje op SBOM-neilibjen en auditing, it meitsjen fan nije ynkomstenstreamen.
• Fergrutte wurkmooglikheden op it mêd fan cyberfeiligens en softwarekontrôle, om't de fraach nei saakkundigen dy't troch SBOM-easken kinne navigearje groeit.
• In potinsjele stiging yn softwarekosten foar ein-brûkers, om't bedriuwen de útjeften ferbûn mei SBOM-neilibjen kinne trochjaan oan konsuminten.
• Beliedsmakkers dy't útdagings hawwe om SBOM-wetjouwing bywurke te hâlden, om't se moatte oanpasse oan rap evoluearjende bedrigingen en technologyen foar cyberfeiligens.

Fragen om te beskôgje

• Sjoen dat de útfierende oarder fan 'e Biden-administraasje oangeande SBOM's wie yn reaksje op in cyberoanfal op federale aktiva, tinke jo dat SBOM's de frekwinsje en omfang fan cyberoanfallen yn 't foarút kinne ferminderje?
• Mei SBOM's dy't yngewikkelde ynformaasje en details leverje oangeande de gearstalling en ûntwerp fan in softwareprodukt, fertsjintwurdigje SBOM's sels in feiligensbedriging as fijannige akteurs tagong kinne ta har? Hoe kin dit senario foarkommen wurde?