มูลค่ารายการวัสดุซอฟต์แวร์ (SBOM)

เผยแพร่แล้ว: 2023-11-28

หากคุณใช้เวลาสักครู่เกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานในปีที่ผ่านมา คุณอาจคุ้นเคยกับคำว่า “รายการวัสดุซอฟต์แวร์” ซึ่งย่อมาจาก SBOM ในรูปแบบที่ง่ายที่สุด SBOM สามารถเปรียบเทียบได้กับรายการส่วนผสมของซอฟต์แวร์ แต่ในความเป็นจริงแล้ว มันซับซ้อนกว่ามาก

ในองค์กรที่ขับเคลื่อนด้วยดิจิทัลในปัจจุบัน ด้วยการพึ่งพาผู้ค้าปลีกซอฟต์แวร์ เครื่องมือโอเพ่นซอร์ส และแอปพลิเคชันไวท์เลเบลอย่างสูง คุณค่าของการมีรายการวัสดุซอฟต์แวร์จึงไม่สามารถกล่าวเกินจริงได้

การกำหนด SBOM: รายการวัสดุซอฟต์แวร์ (SBOM) คืออะไร

รายการวัสดุซอฟต์แวร์คือรายการส่วนประกอบพื้นฐาน (เช่น ทรัพยากรโค้ด) ที่ใช้ในการสร้างผลิตภัณฑ์ โดยนำเสนอข้อมูลที่เครื่องสามารถอ่านได้และรายละเอียดโดยสรุปความเชื่อมโยงระหว่างองค์ประกอบซอฟต์แวร์ต่างๆ ในห่วงโซ่อุปทานของคุณ

โดยพื้นฐานแล้ว SBOM นั้นเกี่ยวกับความสมบูรณ์ของ “วัสดุ” ดิจิทัลที่เราร่วมงานด้วย โดยเน้นที่ความไว้วางใจและความปลอดภัย พวกเขาสามารถระบุส่วนประกอบต่างๆ ของซอฟต์แวร์ที่ประกอบขึ้น ไฟล์เหล่านี้มาจากไหน วิธีสร้างไฟล์ และดูว่าไฟล์เหล่านี้ได้รับการลงนามอย่างปลอดภัยโดยบุคคลที่เชื่อถือได้หรือไม่

SBOM เป็นเครื่องมือที่นักพัฒนาซอฟต์แวร์และผู้บริโภคสามารถใช้เพื่อเสริมสร้างความมั่นใจและความน่าเชื่อถือในวงจรการพัฒนาและการจัดจำหน่ายซอฟต์แวร์

Gartner ประมาณการว่าภายในปี 2568 60% ขององค์กรที่พัฒนาหรือจัดหาซอฟต์แวร์สำหรับโครงสร้างพื้นฐานที่สำคัญจะต้องใช้ SBOM ซึ่งเพิ่มขึ้นอย่างมากจากน้อยกว่า 20% ในปี 2565 มาตรวจสอบว่าเหตุใด และมูลค่าของบิลค่าซอฟต์แวร์ที่แน่ชัดคือเท่าใด วัสดุ.

SBOM และความปลอดภัยทางไซเบอร์: เหตุใดการดูแลรักษารายการวัสดุของซอฟต์แวร์จึงมีความสำคัญ

ทั้งในภาครัฐและเอกชน การโจมตีทางไซเบอร์กลายเป็นเรื่องปกติไปแล้ว ในช่วงครึ่งหลังของปี 2565 จำนวนการบุกรุกภาครัฐเพิ่มขึ้น 95% เมื่อเทียบกับช่วงเวลาเดียวกันของปี 2564

เป็นที่คาดการณ์ว่าผลกระทบทางเศรษฐกิจทั่วโลกจากการโจมตีทางไซเบอร์จะเพิ่มขึ้นอย่างมากจาก 8.44 ล้านล้านดอลลาร์ในปี 2565 เป็น 23.84 ล้านล้านดอลลาร์ในปี 2570

นั่นคือเหตุผลที่องค์กรต่างๆ กลุ่มผู้สนับสนุนความปลอดภัยทางไซเบอร์ และแม้แต่รัฐบาลกำลังผลักดัน SBOM ในฐานะส่วนสำคัญของโครงสร้างพื้นฐานดิจิทัล และไม่ใช่สิ่งที่ดีที่จะมี

ในความเป็นจริง คำสั่งผู้บริหารของสหรัฐอเมริกา (EO) 14028 ในเดือนพฤษภาคม 2021 หัวข้อ “การปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ” กำหนดให้ใช้ SBOM เพื่อสนับสนุนการรักษาความปลอดภัยของฐานข้อมูลของรัฐบาลกลางสหรัฐฯ จัดทำรายการวัสดุซอฟต์แวร์ที่จำเป็นสำหรับผู้ให้บริการซอฟต์แวร์ที่ทำงานร่วมกับหน่วยงานรัฐบาล

ท้ายที่สุดแล้ว หากบริษัทต่างๆ ไม่รู้ว่ามีอะไรอยู่ในซอฟต์แวร์ของตน พวกเขาจะไม่สามารถเข้าใจหรือประเมินความเสี่ยงที่จะเกิดขึ้นกับบริษัทหรือลูกค้าขั้นปลายน้ำได้อย่างเต็มที่

กรณีการใช้งานของ SBOM

นอกเหนือจากการช่วยให้คุณมองเห็นซอฟต์แวร์ของบริษัทอื่นได้ จึงทำให้ง่ายต่อการรับมือกับการโจมตีของห่วงโซ่อุปทานแล้ว รายการวัสดุของซอฟต์แวร์ยังช่วยในเรื่อง:

  1. การเสริมสร้างความสัมพันธ์ระหว่างผู้ขายและผู้ซื้อ

    ทั้งนักพัฒนาซอฟต์แวร์และผู้ใช้ต้องเชื่อมั่นในซอฟต์แวร์ที่พวกเขาใช้งานอยู่ บุคคลสามารถใช้ข้อมูลเมตาที่มีอยู่ใน SBOM เพื่อตรวจสอบความสมบูรณ์ของซอฟต์แวร์ และจดจำส่วนประกอบที่มีข้อบกพร่องหรือมีความเสี่ยงที่อาจส่งผลกระทบต่อระบบและกระบวนการได้อย่างรวดเร็ว

    ในทำนองเดียวกัน SBOM สามารถเน้นย้ำถึงมาตรการด้านความปลอดภัยที่นักพัฒนาซอฟต์แวร์จำเป็นต้องใช้เพื่อสร้างซอฟต์แวร์ที่ปลอดภัยและล้ำสมัย

  2. ดำเนินการวิเคราะห์ช่องโหว่ที่ครอบคลุมมากขึ้น

    บริษัทสามารถตรวจสอบส่วนประกอบ SBOM เพื่อหาช่องโหว่ได้ หากมีปัญหาเกิดขึ้น พวกเขาก็จะคำนึงถึงการขึ้นต่อกันใดที่ต้องแก้ไขด้วย ช่องโหว่คือข้อบกพร่องที่สามารถใช้ประโยชน์ได้โดยผู้ไม่หวังดีที่ต้องการสร้างความเสียหายให้กับซอฟต์แวร์หรือเป็นอันตรายต่อระบบที่ทำงานอยู่

    SBOM สามารถมั่นใจได้ว่าซอฟต์แวร์ที่ใช้งานอยู่ได้รับการอัพเดตอย่างสม่ำเสมอและเป็นปัจจุบันที่สุด ถ้าไม่ คุณสามารถดำเนินการวิเคราะห์ความเสี่ยงเฉพาะส่วนประกอบที่ล้าสมัย แทนที่จะทิ้งทรัพยากรไปกับการตรวจสอบซอฟต์แวร์ทั้งหมด

  3. ส่งมอบซอฟต์แวร์ที่มีคุณภาพดีกว่า

    ดังสุภาษิตโบราณที่ว่า “พูดในสิ่งที่คุณทำ ทำในสิ่งที่คุณพูด” ในทำนองเดียวกัน การสร้างและประเมิน SBOM มักจะช่วยนักพัฒนาในการพิจารณาว่าการสร้างซอฟต์แวร์นั้นอยู่ในสถานะที่เหมาะสมที่สุดอย่างแท้จริงหรือไม่

    มีความสม่ำเสมอและทำซ้ำได้หรือไม่? SBOM ที่สร้างขึ้นสะท้อนถึงสิ่งที่วิศวกรเชื่อว่ามีอยู่ในซอฟต์แวร์หรือไม่? หรือช่องว่างมีอยู่จริง? ตัวสร้าง SBOM ส่วนใหญ่เปิดเผยอย่างน้อยสองสามรายการเกี่ยวกับซอฟต์แวร์ที่ผู้จำหน่ายไม่ทราบ ซึ่งช่วยให้พวกเขาสามารถปรับปรุงคุณภาพซอฟต์แวร์และเผยแพร่เฉพาะรุ่นที่ดีที่สุดเท่านั้น

  4. การปรับปรุงการตัดสินใจในการจัดซื้อจัดจ้าง

    การใช้ SBOM ที่นำเสนอโดยผู้ให้บริการซอฟต์แวร์บุคคลที่สามช่วยให้ผู้จัดการฝ่ายจัดซื้อสามารถตัดสินใจซื้อซอฟต์แวร์ได้อย่างมีข้อมูลมากขึ้น ด้วยรายการวัสดุซอฟต์แวร์ ผู้เชี่ยวชาญด้านการจัดซื้อไอทีสามารถ 'เข้าใจ' ของซอฟต์แวร์เพื่อดูว่าซอฟต์แวร์ทำงานอย่างไรก่อนที่จะซื้อ

    ในกรณีที่ไม่มี SBOM ก่อนการซื้อ คุณสามารถใช้ประโยชน์จากกรณีการใช้งานนี้ภายในกรอบเวลาที่เหมาะสมหลังการซื้อ ก่อนที่จะตั้งค่าการล็อคอินของผู้ขาย และเปลี่ยนผู้ให้บริการหากจำเป็น

  5. การสร้างระบบองค์กรที่ทำงานร่วมกันได้

    สถาปนิกองค์กรมีหน้าที่สร้างกรอบเทคโนโลยีของบริษัท เช่นเดียวกับสถาปนิกด้านการก่อสร้าง การรวบรวมกลุ่มเทคโนโลยีจะง่ายกว่ามากหากคุณเข้าใจแต่ละองค์ประกอบของทรัพยากรที่มีอยู่ สิ่งนี้ถือเป็นเรื่องจริงโดยเฉพาะอย่างยิ่งสำหรับการควบรวมและซื้อกิจการ ซึ่งสถาปนิกไม่สามารถมองเห็นที่มา ความสามารถ และข้อจำกัดของซอฟต์แวร์ได้ครบถ้วน

  6. การสนับสนุนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัย

    SBOM สามารถใช้เป็นการตรวจสอบความถูกต้องสำหรับการค้นพบเหตุการณ์และคำแนะนำ ซึ่งเป็นตัวบ่งชี้ทิศทางของสิ่งที่ผิดพลาด เพื่อเป็นหลักฐานสนับสนุน SBOM ช่วยในการสืบสวนเหตุการณ์และการประเมินผลกระทบต่อระบบที่เกิดขึ้นพร้อมกันหรือเวอร์ชันของระบบก่อนหน้า

    ในระหว่างและหลังเหตุการณ์ SBOM ยังสามารถอำนวยความสะดวกในการโต้ตอบระหว่างผู้ทำงานร่วมกัน กลุ่มที่ได้รับผลกระทบ และลูกค้า

    การตรวจสอบความถูกต้องว่าเนื้อหาที่ SBOM แจกแจงไว้นั้นค่อนข้างแม่นยำ ณ เวลาที่เผยแพร่ และไม่มีช่องโหว่ที่ระบุหรือไม่ได้รับการแก้ไขอยู่ ถือเป็นการนำ SBOM ไปใช้ในการจัดการตอบสนองต่อเหตุการณ์เพิ่มเติม

    สิ่งนี้สามารถลดความเสี่ยงและความรับผิดทางกฎหมายสำหรับบริษัทที่เผชิญกับการละเมิดข้อมูลหรือเหตุการณ์ที่มีความรุนแรงเท่ากัน

ข้อควรพิจารณาขององค์กรในการใช้ SBOM: วิธีเพิ่มมูลค่าให้สูงสุด

ผู้ขายมีหน้าที่รับผิดชอบในการประกอบ จัดรูปแบบ และจัดเตรียมรายการวัสดุซอฟต์แวร์ให้ครบถ้วนสำหรับการใช้งานของคุณ อย่างไรก็ตาม การได้รับ SBOM ยังไม่เพียงพอ องค์กรต่างๆ จำเป็นต้องมีกลยุทธ์การกำกับดูแลเพื่อกำหนดเส้นทาง SBOM ไปยังกรณีการใช้งานที่มีค่าที่สุด

  1. รู้ว่าผู้ขายรายใดที่จะส่งคำขอ SBOM

    เนื่องจากโดยทั่วไปทรัพยากรจะมีขีดจำกัดการใช้งานที่แน่นอน คุณจึงต้องเริ่มต้นด้วยการวิเคราะห์ผลกระทบทางธุรกิจเพื่อระบุผู้ให้บริการที่สำคัญที่สุดของคุณและโซลูชันซอฟต์แวร์ Commercial Off The Shelf หรือ COTS

    สำหรับบางธุรกิจที่มีมาตรฐานความปลอดภัยที่เข้มงวด ผู้จำหน่ายทุกรายที่มีผลกระทบต่อข้อมูลขององค์กรจะต้องส่ง SBOM สำหรับฝ่ายอื่นๆ อาจมีเพียงผู้ให้บริการหลักเพียงบางส่วนเท่านั้นที่ต้องเป็นส่วนหนึ่งของกระบวนการนี้

    สิ่งสำคัญที่ต้องพิจารณาก็คือระดับความเชี่ยวชาญของผู้ขายของคุณ ผู้จำหน่ายระดับองค์กรที่จัดตั้งขึ้นจะพร้อมมากขึ้นในการส่งมอบสิ่งที่คุณต้องการเมื่อเปรียบเทียบกับการเริ่มต้นที่กระท่อนกระแท่น

  2. ตัดสินใจจังหวะของการอัพเดต SBOM และใช้ระบบอัตโนมัติ

    ความสม่ำเสมอที่คุณต้องส่ง SBOM ก็เป็นสิ่งสำคัญที่ต้องพิจารณาเช่นกัน ในบางอุตสาหกรรม ลูกค้าอาจจำเป็นต้องอัปเดตทุกครั้งที่มีการอัพเดตซอฟต์แวร์

    สิ่งนี้สามารถเกิดขึ้นได้อย่างต่อเนื่อง - รายชั่วโมงหรือรายวัน - สำหรับแพลตฟอร์ม SaaS แต่ความถี่ในระดับนี้จะทำให้ผู้ขายได้รับภาระหนักเกินไปในการรวบรวมข้อมูล SBOM และหน้าที่ในการจัดส่ง โดยทั่วไปแล้ว ควรขอ SBOM “ดูหรือสแนปชอต” ของผลิตภัณฑ์ตามช่วงเวลาที่กำหนดไว้ (ทุกวัน ทุกเวอร์ชันใหม่ ฯลฯ)

    ตรวจสอบว่าสัญญาของคุณมีข้อตกลงระดับการให้บริการ (SLA) อย่างเป็นทางการสำหรับการส่งมอบ SBOM หรือไม่

  3. สร้างการแลกเปลี่ยน SBOM และเวิร์กโฟลว์การควบคุมเวอร์ชัน

    กล่องจดหมายที่เต็มไปด้วยไฟล์ JSON และ XML เป็นวิธีที่ไม่มีประสิทธิภาพในการจัดการข้อมูล อย่างน้อยที่สุด องค์กรต้องมีวิธีการที่มีโครงสร้างสำหรับการตรวจสอบและดูแลเวอร์ชันของ SBOM แต่ละรายการ

    ตามหลักการแล้ว คุณต้องมีระบบที่สามารถนำเข้า ถอดรหัส และประเมินข้อมูลที่มีอยู่ได้ ข้อมูล SBOM สามารถนำเข้าโดยแพลตฟอร์ม เช่น Anchore และ Mend.io เพื่อส่งการแจ้งเตือนอัตโนมัติและดำเนินการวิเคราะห์ความปลอดภัยอัตโนมัติ รวมถึงคุณสมบัติอื่นๆ

ขั้นตอนถัดไป

เพื่อเสริมความแข็งแกร่งให้กับโปรโตคอลความปลอดภัยขององค์กรของคุณ ให้เชื่อมต่อ SBOM กับเครื่องมือการดูแลระบบช่องโหว่ ตัวอย่างเช่น เครื่องสแกนแอปหรือคอนเทนเนอร์สามารถใช้ข้อมูล SBOM เพื่อค้นหาช่องโหว่และความเสี่ยงที่ทราบได้

เมื่อความถี่ของการโจมตีทางไซเบอร์เพิ่มมากขึ้น ความปลอดภัยของห่วงโซ่อุปทานจึงกลายเป็นข้อพิจารณาที่สำคัญสำหรับทุกธุรกิจ รายการวัสดุซอฟต์แวร์ (SBOM) เป็นเครื่องมือที่มีประโยชน์อย่างมากที่ช่วยให้องค์กรระบุและตรวจสอบส่วนประกอบของซอฟต์แวร์ นอกจากนี้ยังช่วยให้ผู้ใช้ทราบถึงปัญหาด้านความปลอดภัยหรือประสิทธิภาพที่อาจเกิดขึ้นได้อย่างเต็มที่

จากนั้น สร้างกลยุทธ์ SBOM ของคุณด้วยข้อมูลเชิงลึกล่าสุดของ Splunk เกี่ยวกับ ความปลอดภัยที่เหนือกว่าการปฏิบัติตาม ข้อกำหนด หากคุณสนุกกับการอ่านบทความนี้ แบ่งปันบนโซเชียลมีเดียโดยคลิกที่ปุ่ม Facebook, Twitter หรือ LinkedIn ที่ด้านบน!