Útmutató SBOM-hez és sérülékenység menedzsmenthez
A Szingapúri Kiberbiztonsági Ügynökség (CSA) az Open Worldwide Application Security Project (OWASP) együttműködésével 2025. február 20-én kiadott egy javaslatot a nyílt forráskódú szoftverek (OSS) és a third-party függőségek szoftverjegyzékéhez (Software Bill of Materials, SBOM) és valós idejű sérülékenység menedzsmentjéhez. A dokumentum útmutatást nyújt a szoftverfejlesztőknek a sérülékenység menedzsment automatizált megközelítésének megvalósításához.
A dokumentum szerint az OSS integrálása a szoftverfejlesztésbe jelentős kiberbiztonsági kihívásokat jelent, különösen a third-party függőségek sérülékenységei miatt. Az olyan sérülékenységek, mint a Log4j és a Heartbleed kiemelik ezeket a kockázatokat. A Log4j esetében sok szervezetnek nehézséget okozott a rendszerek kompromittálásának megállapítása, mivel nem volt rálátásuk a szoftverkomponensekre és a függőségekre, és így nem tudtak azonnal reagálni az azonosított sérülékenységekre. A Heartbleed a széles körben használt OpenSSL kriptográfiai könyvtárat érintette, és a kihasználása révén többek között 4,5 millió orvosi adatot szereztek meg kiberszereplők.
Tanulmányok szerint egy projektben átlagosan 68,8 függőség és 5,1 kritikus sérülékenység található egy alkalmazásban. Ha a fejlesztők nincsenek tisztában az alkalmazásuk teljes összetételével, egy kiberbiztonság incidens kockázata jelentős. Ezek fényében a fejlesztők számára fontos, hogy a kiberbiztonsági kockázatok mérséklése érdekében azonosítsák és kezeljék az OSS függőségeket.
A CSA szerint az SBOM létrehozása biztosítja, hogy a fejlesztők ne alkalmazzanak ismert sérülékenységgel rendelkező függőségeket, és teljes átláthatóságot biztosít számukra a szoftverkomponensek tekintetében, így világos képet kapnak szoftverkörnyezetükről, és hatékonyabban kezelhetők a sérülékenységek. Az SBOM javítja a reakcióidőt is, mivel lehetővé teszi a fejlesztők számára a sérülékeny komponensek azonosítását és javítását, valamint a szervezeten belüli együttműködést a holisztikus sérülékenység menedzsment érdekében.
A CSA háromlépcsős megközelítést írt elő a sérülékenységek SBOM-okon keresztül történő kezelésére. Ez magában foglalja egy olyan eszköz kiválasztását, amely pontosan azonosítja és kilistázza a szoftver összetevőit, valamint közvetlen és közvetett függőségeit. Az eszközt integrálni kell a CI/CD pipeline-okkal. Az eszközzel olyan SBOM-et kell létrehozni, amely megfelel az ipari szabványoknak, például a CycloneDX-nek vagy az SPDX-nek. Az SBOM generálás utáni aláírása biztosítja a hitelességet, és biztosítja, hogy az megbízható forrásból származik. Végezetül a generált SBOM-et egy biztonságos tárolóhelyen kell közzétenni, és automatikusan be kell táplálni az olyan eszközökbe, mint az OWASP Dependency Track (DT) a folyamatos sérülékenység felügyelet és az N-day sérülékenységek azonosítása érdekében.
