Termi Software Bill of Materials (SBOM) on monille uusi, mutta se on nopeasti nousemassa välttämättömäksi käytännöksi ohjelmistokehityksessä.
Moderni ohjelmistokehitys perustuu pitkälti ulkopuolisiin kirjastoihin ja komponentteihin. SBOM on ohjelmiston “ainesosaluettelo”, joka kertoo, mistä komponenteista sovellus on koottu, mitä versioita käytetään ja mitkä ovat niiden lisenssitiedot. Kun riippuvuudet ovat näkyvissä, ohjelmiston turvallisuutta ja laatua voidaan hallita paremmin.
Miksi SBOM:sta on tullut kriittinen?
Toimitusketjuhyökkäykset paljastivat riippuvuuksien riskit
Viime vuosina tapahtuneet toimitusketjuja hyödyntävät hyökkäykset osoittavat, mitä voi tapahtua, kun organisaatiolla ei ole näkyvyyttä ohjelmistojensa komponentteihin.
Paljon julkisuutta saanut esimerkki on hyökkäys, joka hyödynsi haavoittuvuutta suositussa ja erittäin laajasti käytetyssä Apache Software Foundationin Java-pohjaisessa ohjelmistokirjastossa Log4j. Kirjasto on työkalu lokitietojen kirjaamiseksi ohjelmistosovelluksissa. Kriittinen haavoittuvuus altisti tuhannet sovellukset ja palvelut hyökkäykselle, mutta ongelmana ei ollut pelkästään haavoittuvuus. Ongelma oli myös, ettei moni yritys tiennyt, missä kaikkialla Log4j oli käytössä ja missä versiossa. SBOM olisi mahdollistanut asian nopean tarkistamisen ja korjaamisen.
Sääntely kirittää turvallisuutta
Vuodesta 2021 alkaen Yhdysvaltain julkishallinto on edellyttänyt, että sen hankkimille ohjelmistoille toimitetaan SBOM osana toimitusketjuturvallisuuden vahvistamista.
Se on ohjannut myös suuryrityksiä vaatimaan SBOM:eja alihankkijoiltaan.
Euroopassa toimitusketjuhyökkäyksiin varautumiseen ohjeistetaan mm. Kyberturvallisuusdirektiivissä (NIS2) ja Kyberkestävyyssäädöksessä (CRA).
Sääntelyissä SBOM toimii todisteena siitä, että yritys ymmärtää ja hallinnoi ohjelmistojensa toimitusketjua eikä sisällytä sinne “mustia laatikoita”.
SBOM osana ohjelmistokehityksen työkalupakkia
Software Bill of Materials voidaan toteuttaa joko CycloneDX- tai SPDX-standardin mukaisesti, jolloin riippuvuudet, versiot ja lisenssitiedot saadaan listattua. Käytettävissä on laaja valikoima ko. standardit toteuttavia työkaluja (sekä kaupallisia että avoimen lähdekoodin), jotka integroituvat CI/CD-putkeen.
SBOM voidaan versioida ja tallentaa yhdessä ohjelmiston kanssa ja jokaisesta julkaisusta syntyy uusi SBOM. Haavoittuvuusskannaus on yhdistettävissä SBOM:iin, mikä auttaa nopeassa ongelmien tunnistamisessa ja edistää riskienhallintaa.
Kehittäjille SBOM tarjoaa helpon näkyvyyden riippuvuuksiin, nopean haavoittuvuuksien vaikutusarvion tekemisen, selkeyttä päivitysten hallintaan ja mahdollisuuden teknisen velan vähentämiseen.
Johdolle SBOM:n hyötyjä ovat parempi riskienhallinta ja auditointivalmius, sääntelyvaatimusten täyttäminen, luottamuksen luominen toimitusketjussa ja pienemmät kustannukset kriisikorjauksissa.
Ota yhteyttä, jos haluat keskustella voisimmeko olla avuksesi asiassa!