Τον τελευταίο ενάμιση χρόνο, έχουμε γίνει μάρτυρες σημαντικών κενών ασφαλείας στον κυβερνοχώρο , όπως η επίθεση στο SolarWinds software supply chain η ευπάθεια log4j , και η εισαγωγή κακόβουλου κώδικα στο npm. Όλα αυτά κατέστησαν σαφές ότι πρέπει να καθαρίσουμε την αλυσίδα εφοδιασμού λογισμικού μας. Αυτό είναι αδύνατο να γίνει με ιδιόκτητο λογισμικό, καθώς οι δημιουργοί του δεν θα σας ενημερώσουν τι υπάρχει μέσα σε ένα πρόγραμμα. Αλλά με τα προγράμματα ανοιχτού κώδικα, αυτό είναι εφικτό.
Tο Linux Foundation με την νέα του έκθεση The State of Software Bill of Materials and Cybersecurity Readiness, καταγράφει όλη τη πρόοδο που έχει γίνει σε αυτό τον τομέα.
Το Linux Foundation, το OpenSSF , το SPDX και το OpenChain εργάζονται για την εξασφάλιση της αλυσίδας εφοδιασμού λογισμικού πολύ πριν ο Πρόεδρος των ΗΠΑ Joe Biden υπογράψει το εκτελεστικό διάταγμα για την ενίσχυση της κυβερνοάμυνας της ομοσπονδιακής κυβέρνησης . Αυτό το διάταγμα λέει ότι το λογισμικό ανοιχτού κώδικα πρέπει να προσπαθήσει να παρέχει ένα Software Bill of Materials (SBOM).
Το διάταγμα ορίζει ένα SBOM ως “ένα επίσημο αρχείο που περιέχει τις λεπτομέρειες και τις σχέσεις εφοδιαστικής αλυσίδας διαφόρων στοιχείων που χρησιμοποιούνται στην κατασκευή λογισμικού.” Είναι ένα ιδιαίτερα σημαντικό ζήτημα με το λογισμικό ανοιχτού κώδικα, καθώς «οι προγραμματιστές λογισμικού και οι πωλητές συχνά δημιουργούν προϊόντα συναρμολογώντας υπάρχοντα στοιχεία λογισμικού ανοιχτού κώδικα και εμπορικά στοιχεία».
Πόσο συχνά γίνεταιι αυτό ? Η Tidelift αναφέρει ότι το 92% των εφαρμογών περιέχουν στοιχεία ανοιχτού κώδικα . Στην πραγματικότητα, το μέσο σύγχρονο πρόγραμμα αποτελείται κατά 70% από λογισμικό ανοιχτού κώδικα
Ο Jim Zemlin, εκτελεστικός διευθυντής του Linux Foundation, γράφει: “Τα SBOM δεν είναι πλέον προαιρετικά. Η ερευνητική ομάδα του Linux Foundation αποκάλυψε ότι το 78% των οργανισμών αναμένει να παράγει ή να καταναλώσει SBOM μέσατο 2022. Οι επιχειρήσεις που επιταχύνουν την υιοθέτηση του SBOM μετά τη δημοσίευση του νέου προτύπου ISO 5962 ή το Εκτελεστικό Διάταγμα του Λευκού Οίκου όχι μόνο βελτιώνουν την ποιότητα του λογισμικού τους, αλλά και προετοιμάζονται επίσης καλύτερα για να αποτρέψουν επιθέσεις μετά από νέες αποκαλύψεις ευπάθειας ανοιχτού κώδικα, όπως αυτές που συνδέονται με το log4j.”
Το πρότυπο ISO 5962 SBOM είναι έργο της SPDX. ένα έργο που σχετίζεται με το Linux Foundation.
Σύμφωνα με αυτό το πρότυπο, ένα SBOM είναι επίσημα και αναγνώσιμα από μηχανή μεταδεδομένα , που προσδιορίζουν μοναδικά ένα στοιχείο λογισμικού και τα περιεχόμενά του. Μπορεί επίσης να περιλαμβάνει δεδομένα πνευματικών δικαιωμάτων και άδειας χρήσης. Αν το σκεφτείτε ως συνταγή για πρόγραμμα, δεν θα είστε μακριά.
Τα SBOM μοιράζονται σε οργανισμούς και παρέχουν διαφάνεια στοιχείων σε μια αλυσίδα εφοδιασμού λογισμικού. Πολλοί οργανισμοί που ενδιαφέρονται για την ασφάλεια εφαρμογών καθιστούν τα SBOM ως ακρογωνιαίο λίθο της στρατηγικής τους στον κυβερνοχώρο. Είναι ο μόνος τρόπος με τον οποίο μπορούν να είναι σίγουροι ότι γνωρίζουν ποια συστατικά χρησιμοποιούν στα προγράμματά τους.
Η έρευνα του Linux Foundation, πραγματοποίησε μια παγκόσμια έρευνα σχετικά με την ετοιμότητα και την υιοθέτηση των SBOM το τρίτο τρίμηνο του 2021. Συνολικά 412 οργανισμοί από όλο τον κόσμο συμμετείχαν στην έρευνα με 65 ερωτήσεις. Ο Stephen Hendrick, Αντιπρόεδρος Έρευνας του Ιδρύματος Linux συνέταξε την έκθεση.
Τα βασικά ευρήματα από την έρευνα περιλαμβάνουν:
- Το 82% των ερωτηθέντων είναι εξοικειωμένοι με τον όρο SBOM.
- Το 76% συμμετέχει ενεργά στην αντιμετώπιση των αναγκών του SBOM.
- Το 47% παράγει ή καταναλώνει SBOM.
- Το 78% των οργανισμών αναμένει να παράγει ή να καταναλώσει SBOM το 2022, αυξημένο κατά 66% από το προηγούμενο έτος.
Οι ερωτηθέντες στην έρευνα αποκάλυψαν επίσης τα τρία κορυφαία οφέλη τους για την παραγωγή SBOM:
- Το 51% λέει ότι είναι πιο εύκολο για τους προγραμματιστές να κατανοήσουν τις εξαρτήσεις μεταξύ των στοιχείων μιας εφαρμογής.
- Το 49% δηλώνει ότι είναι ευκολότερο να παρακολουθούνται στοιχεία για τρωτά σημεία.
- Το 44% σημειώνει ότι είναι πιο εύκολο να διαχειριστείτε τη συμμόρφωση με τις άδειες.
Οι ερευνητές διαπίστωσαν επίσης ότι η υιοθέτηση του SBOM χρειάζεται πρόσθετη συναίνεση του κλάδου και κυβερνητική πολιτική. ΕΙΔΙΚΑ:
- Το 62% των ερωτηθέντων αναζητά καλύτερη συναίνεση του κλάδου σχετικά με τον τρόπο ενσωμάτωσης της παραγωγής/κατανάλωσης SBOM στις πρακτικές DevOps τους.
- Το 58% επιθυμεί συναίνεση για την ενσωμάτωση των SBOM στις διαδικασίες κινδύνου και συμμόρφωσης.
- Το 53% επιθυμεί καλύτερη συναίνεση του κλάδου για το πώς θα εξελιχθούν και θα βελτιωθούν τα SBOM.
- Το 80% των οργανισμών παγκοσμίως γνωρίζουν το Εκτελεστικό Διάταγμα του Λευκού Οίκου για τη βελτίωση της ασφάλειας στον κυβερνοχώρο.
- Το 76% εξετάζει τις αλλαγές ως άμεση συνέπεια του Εκτελεστικού Διατάγματος.
Τέλος, οι συμμετέχοντες στην έρευνα αποκάλυψαν τα κορυφαία χαρακτηριστικά τους που χρησιμοποιούνται για την ιεράρχηση των στοιχείων λογισμικού ανοιχτού κώδικα που θα χρησιμοποιούνταν από τους προγραμματιστές: η ασφάλεια κατατάσσεται στην υψηλότερη θέση, ακολουθούμενη από τη συμμόρφωση με άδεια χρήσης.
Όλα αυτά είναι μια καλή αρχή, αλλά πρέπει να γίνουν περισσότερα. Είναι ιδιαίτερα ανησυχητικό ότι παρόλο που υπάρχει πλέον ένα πρότυπο ISO για SBOM, οι προγραμματιστές και οι εταιρείες τους δεν το έχουν αγκαλιάσει περισσότερο.
Βλέπετε, τα SBOM δεν είναι προαιρετικά. Είναι απαραίτητα για την ασφάλεια του λογισμικού ανοιχτού κώδικα. Τα πάντα, από παραβιάσεις ασφαλείας μέχρι επικείμενους κυβερνοπόλεμους , πρέπει να υιοθετήσουμε SBOM το συντομότερο δυνατό.
Πηγή άρθρου: https://www.zdnet.com/