Lassen Sie sich nicht von Software-Stücklisten übertölpeln

Viele in unserer Industriebranche wiegen die Vorteile ab, die Software-Stücklisten (SBOMs) notfalls pro die Softwarequalität und -sicherheit einbringen könnten. Selbst denke, SBOMs werden gewünscht, um Risiken in Software zu verstehen und zu schätzen, da sie vereinigen Einblick in den Softwarekonstruktionsprozess pro ein bestimmtes Softwaresystem eröffnen sollten. Gen einer gewissen Niveau leben schon SBOMs pro bestimmte Produkte und Softwaresysteme; jedoch ihre Ergreifung zur Ordnung von Qualität und Sicherheit wie in festgesetzt Executive Order 14028, Verbesserung welcher Cybersicherheit welcher Nation und die jüngsten bundesstaatlichen Leitlinien des US Office of Management and Haushaltsplan, des Nationalistisch Institute of Standards and Technology und welcher Cybersecurity Infrastructure and Security Agency sind ziemlich neu und im Skala noch nicht erprobt.

Die Royce-Zeche, die nie verabschiedet wurde

Um 2013, SBOM-Gesetzgebung HR5793 – Cyber ​​Supply Chain Management und Transparenzgesetz (von Rang und Namen qua Royce Bill) eingeführt wurde, dagegen nie die Stärke erlangte, die es brauchte, um qua Mandat, Gesetzentwurf oder Anspruch durchzugehen. Die Industriebranche hatte in vergangener Zeit nicht den Jieper gen Transparenz, um dies Risiko welcher Softwarelieferkette zu managen.

Die Themen, die solche Gesetzgebung angesprochen hätte, sind im Congressional Record – Extensions of Remarks umrissen. Jene Probleme nach sich ziehen sich jetzt auf Grund welcher überwältigenden Kompliziertheit und wachsenden Größe in welcher modernen Softwareentwicklung und welcher zunehmenden Angriffsrate gen Open-Source-Software verschärft. Auf Grund der Tatsache welcher steigenden Nutzungsrate von Open-Source-Software in welcher modernen Softwareentwicklung zu tun sein sich Verbraucher welcher technischen Verdanken in Open-Source-Softwareprojekten gewahr sein, die sich im Laufe welcher Zeit angesammelt nach sich ziehen, um Softwarerisiken besser zu managen. Die Vorstellung von mehr Softwarekomplexität, größeren Softwaresystemen und steigender technischer Verschuldung verheißt nichts Gutes pro den Wunsch welcher Bundesregierung nachher Softwareintegrität und Vertrauenswürdigkeit in welcher gesamten Softwarelieferkette.

Die Tatsache, dass dies Royce-Vorschrift nicht verabschiedet wurde, kann qua verpasste Gelegenheit geschätzt werden, den wachsenden Bedrohungen und Risiken in welcher damaligen Softwaresicherheit zu begegnen. Sozusagen ein Jahrzehnt später kämpft die Industriebranche immer noch damit, herauszufinden, wie SBOMs implementiert und dies richtige Gleichgewicht gefunden werden können, um sie nützlich zu zeugen und nicht zu einem Angriffsziel pro Gegner. Dies wirft große Zweifel in welcher Industrie darüber gen, ob SBOMs sind bereit liegend pro die Hauptsendezeit auf Grund welcher Skepsis gegensätzlich den aktuellen Anforderungen welcher Bundesleitlinien.

SBOM muss obig unbekanntes Risiko informieren

Eine welcher Herausforderungen pro SBOMs besteht darin, Fortschritte zu zeugen und zu verstehen, wie riskante Software eindeutig wird. Selbst verwende den Fachterminus „riskant“, weil jede Software Schwachstellen aufweist und die SBOM in welcher Stellung sein muss, dies mit einer Softwarekomponente verbundene Risikoniveau zu differenzieren oder vereinigen Kontext zu diesem Zweck bereitzustellen, sei es stromlos oder nachdem es implementiert und in ein Softwaresystem integriert wurde . Störungsfrei zu sagen, dass Sie solche Softwarekomponente nicht verwenden können, weil sie CVEs (Common Vulnerabilities and Exposures) hat, wird strittig, weil jede Software Schwachstellen nach sich ziehen kann. SBOMs zu tun sein in welcher Stellung sein, von kurzer Dauer zu qualifizieren, welche CVEs auf Grund des Kontexts, in dem die Software implementiert und verwendet wird, am gefährlichsten und am ausnutzbarsten sind – die Komponentenfunktion (Protokollierung, Verschlüsselung, Zugriffskontrolle, Autorisierung), die Umgebung und ob sie gehärtet werden kann eine gegebene Angriffsfläche reduzieren. Die Wesen und Weise, wie Softwarekomponenten in ein System integriert werden, ist von Wert, da Softwarekomponenten schlecht oder falsch implementiert werden können, wodurch Schwachstellen in Softwaresystemen aufgedeckt werden.

Die Verwendung von CVEs zum Erstellen einer Sicherheitsbaseline pro die Nutzung von Open-Source-Software ist sinnvoll; Dies Zählen einer Warteschlange von CVEs, um festzustellen, welche Software weniger riskant oder riskanter ist, konzentriert sich jedoch nur gen die „bekannten Bekannten“ (wie in welcher Bildnis unten gezeigt) und trägt nur sehr wenig dazu für, Unternehmen zu verstehen, welche Schwachstellen lauern, die Schwachstellen und Auswirkungen aufklären können die allgemeine Hygiene dieser Softwarekomponente (obig vereinigen bestimmten Zeitraum). Darüber hinaus ermutigt welcher aktuelle Stand welcher Realität in Bezug gen SBOMs die Softwarelieferanten nicht, den Fehler zu verstehen Anfälligkeits- oder Angriffsanfälligkeitsraten im Zusammenhang mit Software. Dies ist wichtig, da manche Softwarekomponenten sehr zielgerichtet sind und aufgrund von inhärenten technischen Verdanken, niedriger Codequalität und Sicherheitsproblemen, die Schwachstellen aufklären, erhebliche Patches erfordern. Mehr Patches bedeuten, dass Entwickler und Engineering-Teams weniger Zeit mit welcher Erstellung und Verfügbarmachung neuer Features und Funktionen pro Kunden verleben.

Die Fehleranfälligkeit bezieht sich gen die Wahrscheinlichkeit, dass eine Softwarekomponente nachher welcher Veröffentlichung eines Softwareprodukts fehlerhaft sein wird. Es gibt verschiedene soziotechnische Faktoren, die zur Fehleranfälligkeit hinzufügen, wie z. B. niedrige Codequalität und Designfehler. Die Angriffsanfälligkeit bezieht sich gen die Tarif, mit welcher Softwarekomponenten triumphierend ausgenutzt werden können, oder gen die Wahrscheinlichkeit, dass Softwarekomponenten ausnutzbare Schwachstellen – Bugs, Defekte oder Schwachstellen – oder Schwachstellen enthalten.

SBOM-Lösungen zu tun sein Unternehmen Einblick in potenzielle Risiken pro eine bestimmte Softwarekomponente verschenken, wie in welcher Bildnis oben gezeigt, und Unternehmen hierbei unterstützen, fundierte Entscheidungen darüber zu treffen, welche Softwarekomponenten verwendet und welche Softwarekomponenten vermieden werden sollten. Zum Denkmuster, Rat in dem Informationsblatt zur Cybersicherheit welcher Nationalistisch Security Agency (NSA). ermutigt Entwickler, die Verwendung von Software zu vermeiden, die in Kohlenstoff und Kohlenstoff++ entwickelt wurde, da solche Programmiersprachen nicht dazu gedacht waren, gute Speicherverwaltungsprüfungen zu erzwingen. Es wird interessant sein zu sehen, wie sich dieser Rat gen die Software-Supply Chain auswirken wird, hauptsächlich pro eingebettete sicherheitskritische Systeme, und ob sich die Lieferanten speichersicheren Programmiersprachen wie Rust und Go zuwenden werden.

Möglich sein Sie tiefer, um SBOM zu resultieren

SBOMs werden nicht verschwinden, von dort ist es unerlässlich, dass wir aus zusammenarbeiten und zusammenarbeiten, um die Softwaresicherheit zu verbessern. Dies kann die Erschaffung von Tools und Standards erfordern, die SBOMs bereichern und tiefere Analysen und Einblicke in die Eigenschaften von Software eröffnen können, die Informationen obig Softwarerisiken liefern. Dies hilft Unternehmen, die Softwareintegrität sowie andere Software Assurance-Eigenschaften effektiv zu schätzen und zu gegenzeichnen. Letztendlich ist es pro Softwarelieferanten wichtig, nicht nur dies mit einer bestimmten Softwarekomponente verbundene Risiko zu verstehen, sondern gleichfalls die potenzielle Wartung, die mit welcher Verwendung dieser Softwarekomponente obig vereinigen bestimmten Zeitraum verbunden ist, auf Grund welcher Herausforderungen in welcher Industrie, Schwachstellen in Software rechtzeitig zu beheben . Die Verwendung von Fehler- und Angriffsanfälligkeitsraten könnte umsetzbare Informationen liefern, die dazu hinzufügen, den Verbrauch riskanter Software mit unterlegen Hygiene zu senken. und resultieren Sie Softwarelieferanten beim Überbau von Softwaresystemen an, die widerstandsfähiger gegen Cyberangriffe sind.

Theoretisch sollten Softwarekomponenten mit hoher Fehler- und Angriffsanfälligkeit vermieden werden, um die Verwendung von Alternativen mit besserer Hygiene anzuregen und zu fördern. Meiner Meinung nachher verbessern SBOMs die Codequalität und -sicherheit nicht schlichtweg, dagegen sie können die Software-Supply-Chainer pro Risiken in ihrem Software-Konstruktionsprozess sensibilisieren. Die Verbesserung welcher Codequalität und Sicherheit pro Open-Source-Software erfordert vereinigen Kulturwandel, da viele Augen nicht aus Fehler vordergründig zeugen.