OWASP Authoritative Guide to SBOM

Как может показаться из названия документа, речь пойдет об SBOM (software bill of materials), хотя, на самом деле, документ о многогранном и необъятном использовании BOM и CycloneDX (стандарт OWASP для supply chain). Да, здесь есть и про формат BOM, и про применении в SDLC на разных стадиях, но большинство внимания уделено все же сценариям использования.

Чем это может быть полезно лично для вас и вашей организации? Стандарт затрагивает такие темы как:

- Управление конфигурациями предприятия (CMDB): Отслеживание активов и управление конфигурациями в базе данных.
- Проверка целостности: Обеспечение того, что компоненты программного обеспечения не были изменены с момента их выпуска.
- Аутентичность: Подтверждение подлинности компонентов или самого SBOM.
- Анализ устаревших компонентов: Определение компонентов, которые больше не поддерживаются или устарели.
- Происхождение (Provenance): Отслеживание истории и происхождения компонентов.
- Родословная (Pedigree): Представление информации о происхождении, изменениях и вариациях компонентов.
- Управление поставщиками и рисками: Оценка и управление рисками, связанными с поставщиками и их продукцией.
- Управление цепочкой поставок: Оптимизация процессов управления поставками программных компонентов.
- Полнота состава и "известные неизвестные": Оценка полноты информации в BOM и идентификация элементов с неизвестным статусом.
- Подтверждение и проверка состава: Проверка точности и полноты информации о составе продукта на всех этапах его жизненного цикла.
- Управление криптографическими активами: Управление и отслеживание криптографических ключей, сертификатов и других элементов.
- Идентификация слабых криптографических алгоритмов: Определение и замена устаревших или уязвимых криптографических алгоритмов.
- Готовность к постквантовой криптографии (PQC): Подготовка к эре постквантовых вычислений и обеспечение безопасности криптографических систем перед лицом новых угроз.

Кстати, на сайте Белого Дома в указе от 2021 года о повышении безопасности нации указано о необходимости создания SBOM для всех критически важных программных продуктов, используемых правительственными агентствами. Это далеко не первое упоминание SBOM правительством США. Самое раннее упоминание SBOM можно найти в «Cyber Supply Chain Management and Transparency Act» от 2014 года. В целом подобная документация позволяет отлично понять "куда копать дальше" тем, кто остается работать в РФ и уже выполнил базовые задачи в рамках тематики КИИ и хочет "порешать задачи под звездочкой".

#sbom #owasp

Security Wine (бывший - DevSecOps Wine)

OWASP_CycloneDX-Authoritative-Guide-to-SBOM-en.pdf

4.3 MB

OWASP Authoritative Guide to SBOM

Как может показаться из названия документа, речь пойдет об SBOM (software bill of materials), хотя, на самом деле, документ о многогранном и необъятном использовании BOM и CycloneDX (стандарт OWASP для supply chain). Да, здесь есть и про формат BOM, и про применении в SDLC на разных стадиях, но большинство внимания уделено все же сценариям использования.

Чем это может быть полезно лично для вас и вашей организации? Стандарт затрагивает такие темы как:

- Управление конфигурациями предприятия (CMDB): Отслеживание активов и управление конфигурациями в базе данных.
- Проверка целостности: Обеспечение того, что компоненты программного обеспечения не были изменены с момента их выпуска.
- Аутентичность: Подтверждение подлинности компонентов или самого SBOM.
- Анализ устаревших компонентов: Определение компонентов, которые больше не поддерживаются или устарели.
- Происхождение (Provenance): Отслеживание истории и происхождения компонентов.
- Родословная (Pedigree): Представление информации о происхождении, изменениях и вариациях компонентов.
- Управление поставщиками и рисками: Оценка и управление рисками, связанными с поставщиками и их продукцией.
- Управление цепочкой поставок: Оптимизация процессов управления поставками программных компонентов.
- Полнота состава и "известные неизвестные": Оценка полноты информации в BOM и идентификация элементов с неизвестным статусом.
- Подтверждение и проверка состава: Проверка точности и полноты информации о составе продукта на всех этапах его жизненного цикла.
- Управление криптографическими активами: Управление и отслеживание криптографических ключей, сертификатов и других элементов.
- Идентификация слабых криптографических алгоритмов: Определение и замена устаревших или уязвимых криптографических алгоритмов.
- Готовность к постквантовой криптографии (PQC): Подготовка к эре постквантовых вычислений и обеспечение безопасности криптографических систем перед лицом новых угроз.

Кстати, на сайте Белого Дома в указе от 2021 года о повышении безопасности нации указано о необходимости создания SBOM для всех критически важных программных продуктов, используемых правительственными агентствами. Это далеко не первое упоминание SBOM правительством США. Самое раннее упоминание SBOM можно найти в «Cyber Supply Chain Management and Transparency Act» от 2014 года. В целом подобная документация позволяет отлично понять "куда копать дальше" тем, кто остается работать в РФ и уже выполнил базовые задачи в рамках тематики КИИ и хочет "порешать задачи под звездочкой".

#sbom #owasp

hottg.com/sec_devops/599

6.7K viewsRustam Guseynov, Jun 28, 2024 at 05:59