ENISA elemzés az SBOM bevezetés állapotáról
Az ENISA 2025 végén felmérést indított annak érdekében, hogy adatokat gyűjtsön arról, hogyan állnak hozzá a különböző iparágakban működő, különböző méretű szervezetek a Software Bill of Materials (SBOM) bevezetéséhez az EU kiberrezilienciáról szóló jogszabályra (CRA) reagálva. Az ENISA friss elemzése megerősíti, hogy a CRA felgyorsítja az SBOM bevezetését. A szervezetek széles körben fektetnek be az SBOM-ek generálásába és automatizálásába annak érdekében, hogy azokat integrálják a szoftverfejlesztési életciklusba (SDLC), miközben felgyorsítják a bevezetés ütemtervét is, hogy megfeleljenek a várt érettségi szinteknek.
A válaszadók becslései alapján a szervezetek 79%-a eléri a szükséges SBOM-érettségi szintet addigra, amikor a CRA teljes mértékben alkalmazandóvá válik (2027. december 11.). A szervezetek elismerték az SBOM folyamatos generálásának és felhasználásának értékét a kockázatcsökkentés és a költségmegtakarítás (37%), a működési hatékonyság (29%), valamint a szerződéses követelmények teljesítése és a versenytársakkal szembeni előny megszerzése (26%) terén.
A válaszadók 78%-a jelentette, hogy szervezete már megkezdte az SBOM bevezetésének folyamatát, 44% pedig jelenleg a kísérleti vagy korlátozott bevezetési fázisban van. 9% már elérte a bevezetés érett szintjét, amelyet az automatizálás teljes mértékben támogat, míg 25% kijelentette, hogy az SBOM-et széles körben alkalmazzák termékeikben. A kiválasztott SBOM-formátumok úgy tűnik, hogy megfelelnek a CRA azon követelményének, amely szerint általánosan használt és géppel olvasható formátumot kell használni: a válaszadók 44 %-a jelezte, hogy a CycloneDX-et, 29 %-a pedig a Software Package Data Exchange (SPDX) formátumot használja. A válaszadók 11 %-a azonban jelezte, hogy nem használ szabványos formátumot, a fennmaradó 17 % pedig továbbra is saját fejlesztésű formátumot használ.
A felmérésből kitűnik, hogy a szervezetek 29 %-a a sebezhetőségek azonosítására és javítására, 22 %-a a nyílt forráskódú szoftverek (OSS) licencjeinek helyes használatának és bejelentésének biztosítására, 19 %-a a szabályozási követelmények teljesítésére, 14 %-a a harmadik féltől származó szoftverek kockázatainak értékelésére, míg 13 %-a az összes komponens naprakész leltárának vezetésére fogja használni az SBOM-ot.
A válaszadók 33 %-a nyílt forráskódú eszközökre támaszkodik (pl. Syft), a nagy- és középvállalatok jelentős mértékben támaszkodnak kereskedelmi és zárt forráskódú eszközökre is. Érdekes módon azonban a manuális folyamatokra való támaszkodás az összes vállalatméretet tekintve összességében körülbelül 11 %-os szinten áll, a mikrovállalkozásoknál viszont ez az arány 16 %-ra emelkedik, ami további akadályt jelent, mivel a CRA célja a termékek teljes életciklusa alatt biztosítani a biztonságot. A válaszadók 10 %-a egyáltalán nem készít SBOM-et.
A felmérés különböző részeiben a válaszadók által azonosított főbb akadályok, amelyek megakadályozzák a az SBOM-ek széles körű bevezetését:
- az SBOM magas fokú teljességének elérése jelentette technikai kihívás (62 %);
- a belső szakértelem vagy a feladatra kijelölt személyzet hiánya (28 %);
- az SBOM-adatok minősége (37 %);
- a sebezhetőség matching (35 % szerint meglehetősen nagy, 23 % szerint rendkívül nagy kihívás).
