Il valore della distinta base del software (SBOM)

Se nell'ultimo anno avete riflettuto un attimo sulla sicurezza della catena di fornitura, probabilmente conoscerete il termine "Distinta materiali software", abbreviato in SBOM. Nella sua forma più semplice, una SBOM può essere paragonata all'elenco degli ingredienti di un software; tuttavia, in termini reali, è molto più sofisticato.

Nelle aziende odierne guidate dal digitale, che fanno grande affidamento su rivenditori di software, strumenti open source e applicazioni white label, il valore di avere una distinta base del software non può essere sopravvalutato.

Definizione di SBOM: cos'è una distinta base software (SBOM)?

Una distinta base del software è un elenco dei componenti fondamentali (come le risorse del codice) utilizzati per costruire un prodotto. Offre informazioni e dettagli leggibili dalle macchine che delineano le connessioni tra i vari elementi software nella catena di fornitura.

Le SBOM riguardano essenzialmente l'integrità dei "materiali" digitali con cui si lavora, concentrandosi su fiducia e sicurezza. Possono identificare i componenti di cui è composto un software, l'origine di questi file, il modo in cui sono stati creati e se sono stati firmati in modo sicuro da persone fidate.

Le SBOM sono uno strumento che gli sviluppatori di software e i consumatori possono utilizzare per promuovere la fiducia e la credibilità nel ciclo di vita dello sviluppo e della distribuzione del software.

Gartner stima che entro il 2025, il 60% delle organizzazioni che sviluppano o acquistano software per infrastrutture critiche saranno obbligate a utilizzare le SBOM, un forte aumento rispetto a meno del 20% nel 2022. Esaminiamo perché, e qual è esattamente il valore di una fattura software di materiali.

SBOM e sicurezza informatica: perché il mantenimento della distinta base del software è fondamentale

Sia nel settore pubblico che in quello privato, gli attacchi informatici sono ormai fin troppo comuni. Nella seconda metà del 2022, il numero di intrusioni contro i settori governativi è aumentato del 95% rispetto allo stesso periodo del 2021.

Si prevede che l’impatto economico globale degli attacchi informatici aumenterà drasticamente da 8,44 trilioni di dollari nel 2022 a 23,84 trilioni di dollari nel 2027.

Questo è il motivo per cui le aziende, i gruppi di difesa della sicurezza informatica e persino i governi stanno promuovendo la SBOM come una parte importante dell’infrastruttura digitale – e non come una cosa piacevole da avere.

Infatti, l’ordine esecutivo statunitense (EO) 14028 del maggio 2021, intitolato “Migliorare la sicurezza informatica della nazione”, impone l’uso di SBOM per rafforzare la sicurezza dei database federali statunitensi. Rende obbligatoria la distinta base del software per qualsiasi fornitore di software che collabora con un ente governativo.

In definitiva, se le aziende non sanno cosa c'è all'interno del loro software, non possono comprendere o valutare appieno il rischio che comporta per l'azienda o per i possibili clienti a valle.

Casi d'uso di SBOM

Oltre a darti visibilità sul software di terze parti, rendendo così più semplice affrontare gli attacchi alla catena di fornitura, la distinta base del software aiuta a:

1. Rafforzare le relazioni fornitore-acquirente

   Sia gli sviluppatori di software che i loro utenti devono avere fiducia nel software con cui lavorano. I metadati contenuti in una SBOM possono essere utilizzati dai singoli utenti per verificare l'integrità del software e riconoscere rapidamente componenti difettosi o vulnerabili che potrebbero avere un impatto sui loro sistemi e processi.

   Allo stesso modo, le SBOM possono evidenziare le misure di sicurezza che gli sviluppatori di software devono adottare per creare software sicuro e all'avanguardia.

2. Condurre analisi di vulnerabilità più complete

   Le aziende possono ispezionare i componenti SBOM per individuare eventuali vulnerabilità. Se esiste un problema, saranno anche consapevoli di quali dipendenze correggere. Una vulnerabilità è un difetto che può essere sfruttato da soggetti malintenzionati che cercano di danneggiare il software o il sistema su cui opera.

   Le SBOM possono garantire che il software in uso venga aggiornato regolarmente e nel suo avatar più recente. In caso contrario, è possibile effettuare un'analisi dei rischi solo sui componenti obsoleti invece di sprecare risorse per una revisione del software nella sua interezza.

3. Fornire software di migliore qualità

   Come dice il vecchio proverbio, "Di' quello che fai, fai quello che dici". Allo stesso modo, l'atto di creare e valutare una SBOM in genere aiuta gli sviluppatori a determinare se la build del software è veramente al suo stato ottimale.

   È coerente e ripetibile? La SBOM generata riflette ciò che gli ingegneri ritengono sia contenuto nel software? Oppure esiste un abisso? La maggior parte dei generatori di SBOM scoprono almeno alcuni elementi relativi al software di cui il fornitore non era a conoscenza, il che consente loro di migliorare la qualità del software e pubblicare solo le build migliori.

4. Migliorare il processo decisionale in materia di appalti

   L'utilizzo delle SBOM offerte da fornitori di software di terze parti consente ai responsabili degli approvvigionamenti di prendere decisioni di acquisto di software più informate. Con una distinta base del software, gli specialisti dell'approvvigionamento IT possono andare "sotto il cofano" del software per capire come funziona prima dell'acquisto.

   

   Nel caso in cui la SBOM non sia disponibile prima dell'acquisto, è possibile trarre vantaggio da questo caso d'uso entro un periodo di tempo ragionevole dopo l'acquisto, prima che venga attivato il vincolo del fornitore, e cambiare fornitore se necessario.

5. Costruire sistemi aziendali interoperabili

   Gli architetti aziendali sono incaricati di costruire la struttura tecnologica di un'azienda. Come con un architetto edile, è molto più semplice mettere insieme uno stack tecnologico se si comprendono tutti gli elementi delle risorse a portata di mano. Ciò è particolarmente vero per fusioni e acquisizioni, in cui gli architetti non hanno piena visibilità sulla provenienza, sulle capacità e sui limiti del software.

6. Rafforzare la risposta agli incidenti di sicurezza

   Le SBOM possono fungere da convalida per i risultati e le raccomandazioni degli eventi, un indicatore direzionale di ciò che è andato storto. Come prova a sostegno, l'SBOM ​​aiuta nell'indagine dell'incidente e nella valutazione del suo effetto su sistemi concorrenti o versioni precedenti del sistema.

   Durante e dopo un incidente, le SBOM possono anche facilitare le interazioni tra collaboratori, gruppi interessati e clienti.

   Convalidare che i contenuti enumerati da una SBOM fossero abbastanza accurati al momento della diffusione e che non esistessero vulnerabilità identificate o irrisolte è un'ulteriore applicazione delle SBOM nella gestione della risposta agli incidenti.

   Ciò può ridurre i rischi legali e le responsabilità per le aziende che hanno subito una violazione dei dati o un incidente di pari gravità.

Considerazioni aziendali sull'utilizzo della SBOM: come massimizzarne il valore

È responsabilità del fornitore assemblare, formattare e fornire una distinta base completa dei materiali del software per l'utilizzo da parte dell'utente. Tuttavia, ottenere la SBOM non è sufficiente; le aziende necessitano di una strategia di governance per indirizzare le SBOM verso i casi d'uso più preziosi.

1. Scopri a quali fornitori inviare una richiesta SBOM

   Poiché le risorse generalmente hanno un limite fisso di utilizzo, è necessario iniziare con un'analisi dell'impatto aziendale per determinare i fornitori di servizi più essenziali e le soluzioni software Commercial Off The Shelf o COTS.

   Per alcune aziende con standard di sicurezza rigorosi, tutti i fornitori con qualsiasi tipo di effetto sui dati dell'organizzazione saranno tenuti a inviare una SBOM. Per altri soggetti, forse è necessario che solo un sottoinsieme di fornitori di servizi chiave prenda parte a questo processo.

   Altrettanto essenziale da considerare è il livello di competenza dei tuoi fornitori. Un fornitore aziendale affermato sarà più preparato a fornire ciò di cui hai bisogno rispetto a una startup frammentaria.

2. Decidi la cadenza degli aggiornamenti SBOM e utilizza l'automazione

   È importante considerare anche la regolarità con cui è necessario inviare le SBOM. In alcuni settori, i clienti potrebbero richiedere aggiornamenti ogni volta che il software viene aggiornato.

   Ciò può verificarsi su base continuativa, su base oraria o giornaliera, per le piattaforme SaaS, ma questo livello di frequenza sovraccaricherebbe i fornitori con i compiti di raccolta e consegna dei dati SBOM. In genere, è preferibile richiedere alla SBOM “scorci o istantanee” dei prodotti a intervalli programmati (ogni giorno, con ogni nuova versione, ecc.).

   Verifica se il tuo contratto include un accordo sul livello di servizio (SLA) ufficiale per la consegna SBOM.

3. Stabilire un flusso di lavoro di scambio SBOM e controllo della versione

   Una casella di posta piena di file JSON e XML è un modo inefficace per gestire i dati. Come minimo, le organizzazioni richiedono un metodo strutturato per monitorare e supervisionare la versione di ciascuna SBOM.

   Idealmente, è necessario un sistema in grado di acquisire, decodificare e valutare le informazioni contenute. I dati SBOM possono essere inseriti da piattaforme come Anchore e Mend.io per inviare avvisi automatizzati ed eseguire analisi di sicurezza automatizzate, tra le altre funzionalità.

Prossimi passi

Per rafforzare ulteriormente i protocolli di sicurezza della tua organizzazione, collega le SBOM con strumenti di amministrazione delle vulnerabilità. Ad esempio, gli scanner di app o contenitori possono utilizzare i dati SBOM per cercare vulnerabilità e rischi riconosciuti.

Con l’aumento della frequenza degli attacchi informatici, la sicurezza della catena di fornitura è ora una considerazione essenziale per tutte le aziende. La distinta base del software (SBOM) è uno strumento estremamente utile che aiuta le organizzazioni a identificare e monitorare i componenti software. Inoltre, mantiene gli utenti pienamente informati sui potenziali problemi di sicurezza o efficienza.

Successivamente, sviluppa la tua strategia SBOM con gli ultimi approfondimenti di Splunk sulla sicurezza oltre la conformità . Se ti è piaciuto leggere questo articolo, condividilo sui social media facendo clic sul pulsante Facebook, Twitter o LinkedIn in alto!