Cuando se trata de SBOM, ¿conoce los ingredientes de sus ingredientes?



Si está creando aplicaciones de software, está familiarizado, o debería estarlo, con los SBOM o listas de materiales de software program. Piense en un SBOM como una lista de ingredientes en su aplicación. La urgencia de que las organizaciones creen y mantengan SBOM precisos ha aumentado a raíz de las recientes vulnerabilidades de la cadena de suministro de program, como Log4Shell y Spring4Shell. Además, si hace negocios con el gobierno de los EE. UU., ahora se requiere un SBOM preciso y actualizado, según la Orden Ejecutiva de mayo de 2021 emitida por la Casa Blanca en respuesta a las repercusiones de gran alcance del ataque SolarWinds. .

De acuerdo a Gartner, «para 2025, el 60 % de las organizaciones que crean o adquieren program de infraestructura crítica exigirán y estandarizarán los SBOM en su práctica de ingeniería de software package, frente a menos del 20 % en 2022». Gartner también reconoce que «mantener los datos de las listas de materiales de software (SBOM) sincronizados con los artefactos de computer software correspondientes presenta un desafío clave».1

¿Están las organizaciones siguiendo el ritmo de esa dinámica del mercado? Un Tidelift reciente encuesta
muestra que solo el 37% de las organizaciones conocen los nuevos requisitos de la cadena de suministro de program del gobierno en torno a la seguridad y los SBOM. De estas organizaciones, sólo 20% están usando SBOM para la mayoría o todas las aplicaciones hoy.

Sin embargo, el cambio está llegando rápidamente: la gran mayoría de las organizaciones, el 78 %, ya están utilizando SBOM en al menos algunas aplicaciones o tienen planes de hacerlo el próximo año, según la encuesta.

El código abierto complica los asuntos de SBOM

Desarrollar SBOM puede ser un desafío, pero si united states componentes de código abierto en sus aplicaciones, como lo hacen la mayoría de los equipos de desarrollo de program modernos, entonces el proceso para crear un SBOM y mantenerlo actualizado se vuelve aún más complejo debido al impacto de las dependencias transitivas. .

Los componentes de código abierto en los que se basan otros componentes de código abierto, las dependencias transitivas pueden ser difíciles de rastrear. Por ejemplo, muchas organizaciones afectadas por Log4Shell no se dieron cuenta inmediatamente de su exposición porque se produjo a través de dependencias transitivas. Por lo tanto, es elementary que su SBOM identifique no solo las dependencias directas de código abierto, sino también las dependencias transitivas.

Además, debido a que los desarrolladores constantemente asignan código para brindar una funcionalidad mejorada a las aplicaciones, es essential que los SBOM sean dinámicos y capturen los cambios en los componentes de código abierto hacia arriba y hacia abajo en la cadena de suministro de software package de código abierto.

Conclusión: familiarícese con los SBOM

Para garantizar la integridad de las cadenas de suministro de software, el uso de SBOM se volverá más común y, a menudo, será necesario. Para garantizar que su organización entregue SBOM precisos y actualizados para las aplicaciones que desarrolla y entrega, es importante controlar no solo su lista de ingredientes, sino también los ingredientes que utilizan sus ingredientes.

1 Gartner, «Innovation Insight for SBOMs», Manjunath Bhat, Dale Gardner, Mark Horvath, 14 de febrero de 2022. GARTNER es una marca comercial registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE. UU. e internacionalmente y se utiliza aquí con permiso. Reservados todos los derechos.



Enlace a la noticia primary