По словам Джоша Бресссера, вице -президента по безопасности программного обеспечения в цепочке программного обеспечения (SBOMS), пришло время для обновления правительственного руководства по минимальным элементам для счетов по программному обеспечению материалов (SBOMS).
Недавно опубликованная ревизия проекта, обновление из оригинальной версии 2021 года, открыт для публичного комментария до 3 октября.
«Мы все очень взволнованы тем, что они обновляют этот документ, только потому, что, как и 2021 год в этой вселенной, 100 лет назад в любой другой вселенной»,-сказал Брессерс, член технического консультативного совета Фонда безопасности (OpenSFF) с открытым исходным кодом (OpenSFF) и со стороны проекта OpenSSF SBOM Fuly.
Майкл Либерман
Джош Брессс
В интервью он и Майкл Либерман, соучредитель и технический директор поставщика безопасности цепочки поставок Кусари, указали на необходимость большей ясности и детализации у SBOMS. Либерман также является членом Технического консультативного совета OpenSFF, а также члена Руководящего комитета SLSA OPENSSF.
Либерман говорит, что долгое время было необходимо дальше, чтобы именно вниз в то, из чего сделан кусок программного обеспечения, указывая на отзыв подушки безопасности Таката в автомобильной промышленности.
«Каждая машина, которая покидает фабрику, они точно знают, что пошло в эту машину», — сказал он. «Они точно знают, какая партия винтов и каждого болта, так что, если оно оказывается:« Эй, была плохая партия болтов… для этих автомобилей, которые были изготовлены между этими датами ». Отлично, они знают, они могут вспомнить все это.
«Но это не тот случай [with] Такие вещи, как медицинские устройства, которые явно страшны, где кто -то может сказать: «Есть ли у вас это уязвимое программное обеспечение в этом кардиостимулете, которое технически кто -то может что -то сделать и взломать кардиостимулятор?» Это как: «О, я не знаю».
Попасть в сорняки
В 2021 году исполнительный приказ об улучшении кибербезопасности страны поручил использовать SBOMS для всего программного обеспечения, потребляемого и производства государственными учреждениями. Использование SBOMS, окончательный список всех программных компонентов, библиотек и зависимостей, которые составляют часть программного обеспечения, первоначально требовалось только для федеральных агентств, но также было подтолкнут и поставщикам программного обеспечения. И в последнее время это выступает за способ лучше обеспечить деятельность любой организации.
Национальное управление телекоммуникациями и информацией (NTIA), часть Министерства торговли, первоначально изложило минимальные элементы, которые должны быть включены в SBOMS. С тех пор эта работа перешла в Агентство по охране кибербезопасности и инфраструктуры (CISA) в Министерстве внутренней безопасности.
Этот проект ревизии приносит четыре новых поля данных: хэш компонента, его уникальный идентификатор; лицензия, лицензия (ы), по которой программный компонент предоставляется; Имя инструмента, название инструмента, который автор SBOM использовал для его создания; и контекст генерации, данные о том, когда именно был создан SBOM.
Он предоставляет основные обновления пяти полей данных: автор SBOM, производитель программного обеспечения, версия компонента, идентификаторы программного обеспечения и отношения зависимостей.
По словам Либермана, в том числе хэш компонента, вероятно, является наиболее важным дополнением. Это способ различить, казалось бы, идентичные версии, которые могли быть построены по -разному.
«Во многих программных странах сегодня ваш пакет Foo Version 1 может отличаться от моего пакета Foo Version 1, в зависимости от того, откуда мы его взяли? И это часто привело к большой путанице », — сказал он.
«Если мы вернемся к ситуации XZ… это была ситуация, которая в основном повлияла, вы знаете, определенные распределения Linux, но не другие… вы не смог бы узнать, что, если вы не могли сравнить хэши и проверить:« Я действительно привлекла эту конкретную встроенную версию вещи? »
Он добавил: «Когда кто -то говорит:« У меня есть определенная версия openssl или log4j », это может означать много разных вещей. Это может означать, что я загрузил файл JAR, если это Java, или я загрузил пакет Debian, пакет Red Hat или изображение контейнера, и все это немного отличается.
«Если вы купите его у одного поставщика, или вытащите его из одного места с открытым исходным кодом или вытащите его из другого места с открытым исходным кодом, у них может быть разные хэши, потому что они были построены немного по -разному. Поэтому вам нужно точно знать, какой из них у вас есть, чтобы исправить проблему — или знать, что у вас нет проблемы».
Добавление контекста генерации, независимо от того, является ли предварительно построить во время сборки или пост-сборки, также важно. По его словам, те, которые генерируются во время сборки, имеют тенденцию быть наиболее полными.
«SBOMS, которые вы получаете, которые являются частью вашего процесса сборки, являются лучшими, потому что разрешение зависимостей происходит во время сборки. Поэтому, когда вы загружаете эти пакеты, вы можете буквально захватить хэш, компонентный хэш. Вы можете точно понять, какую версию вы вытащили, и все эти вещи. Потому что снова, в зависимости от того, какой язык вы используете, в зависимости от того, какую экосистему вы являетесь частью, говоря, что я загружаю 1.0. 1.0 Без этих патчей? он сказал.
Потянуть хэш, пока вы тянете пакеты, означает, что у вас есть точная запись, и если вы позже обнаружите, что это плохой хэш, вы можете справиться с этим.
По его словам, знание инструмента, используемого для производства SBOM, также важно, потому что иногда один инструмент лучше, чем другой для конкретного случая использования.
Регламент подпитывает принятие
«Состояние отчета о состоянии открытого исходного кода» в 2024 году. 62,4% организаций внедрило мониторинг SBOM, в то время как опрос Anchore в 2024 году показал, что 78% Планируется увеличить использование SBOMS в течение 18 месяцев.
Тем не менее, в начале 2025 года Дэн Лоренк, соучредитель и генеральный директор компании по безопасности цепочки поставок программного обеспечения Chainguard, предсказал, что SBOMS будут Duds без более крупного регулирующего толчка. Белый документ сонотипа утверждает, что исполнительный приказ 2021 года является одним из факторов для 92% крупных предприятий, которые уже реализованы, либо планируют принять SBOMS, и что 60% требуют партнеров.
По словам Брессера, настоящим импульсом, подпитывающим SBOM, является Закон о кибер -устойчивости ЕС (CRA). Разработчики с открытым исходным кодом не будут непосредственно подвергаться CRA, если они недавно отметили, что они активно зарабатывают деньги на своем программном обеспечении. Тем не менее, поставщики, использующие компоненты с открытым исходным кодом.
«Я рассказал об этом пару месяцев назад на конференции, и группа аудитории была похожа:« О, но мы не продаем в Европу ». Я как: «Вы не продаете в Европе, но ваши клиенты продают в Европе. [SBOMs]. ‘ И поэтому CRA, Закон о кибер -устойчивости, в основном говорит, что если вы продаете на европейском рынке, вы продаете программное обеспечение, вам нужны SBOMS », — сказал Брессерс.
Что делает OpenSSF
OpenSSF выпустил план мобилизации в 2022 году, который включал инициативу под названием «SBOM везде: улучшить инструменты и обучение SBOM для стимулирования принятия». По словам Брессера, он только начал обсуждение того, как он будет комментировать предложенный новый проект Minimum Elements CISA.
«Итак, работа, которую мы делаем в OpenSSF прямо сейчас, это очень рано, верно?… По большей части, новые минимальные элементы [document] от CISA довольно хорош. Я думаю, что с точки зрения OpenSSF, это будет просто убедиться, что мы четко определили термины и убедились, что некоторые из странных странных случаев с открытым исходным кодом были размещены », — сказал он.
«Я приведу вам два примера. Так что в системе RFC есть два раздела [request for comment] где они хотят знать автора SBOM. Это чувствует, что это имеет смысл. Но производитель программного обеспечения, что такое производитель, верно? Мы не знаем. Нам нужно работать над языком, чтобы убедиться, что мы четко определили, что это значит в контексте создания SBOMS ».
Версия представляет другие проблемы.
«Версия, к сожалению, не так проста, как она должна быть в открытом исходном коде, потому что, скажем, у вас есть пакет, какой -то проект с открытым исходным кодом, и теперь это может быть версия 1.6. Когда вы помещаете его в что -то вроде распределения Linux, у них есть такая вещь, называемая эпохой, где она может добавить одну в начало. Цель эпоха — это сказать, что эта версия больше, чем любая версия без эпохи. И это звуки. Но когда это произойдет, это способ для Debian, дистрибутивы Linux, таких как Debian и Red Hat и Ubuntu, как бы сказать: «Заставлять эту версию больше, чем последняя версия, независимо от того, что она говорит». И как насчет эпох? Брессс сказал.
«В минимальных элементах NTIA есть вещи, которые, да, мы придерживаемся, но на самом деле больше не имеют смысла в наши дни, потому что… то, как определялась группа этого материала, просто не имеет смысла, где они хотели, чтобы указатели вернулись к создателю программного обеспечения. В мире открытых исходных костюмов, что это даже значит? Вы знаете, мы говорим о Debian? Мы говорим о том, о чем мы говорим?
И хотя документ в некоторой степени заходит в ИИ, Брессер сказал, что он не думает, что он будет очень глубоко в него.
«И я думаю, что это нормально, потому что весь ИИ Бомс или Сбомы для ИИ или во всем, каким образом вы хотите организовать слова, я думаю, как отрасль, мы все еще выясняем многое из этого, и так хорошо, верно? И я также не хочу видеть правительственное руководство, обязательно, для чего -то совершенно нового».
В то же время несколько стран, включая Индию, Японию, Германию и другие, работают над аналогичным руководством. Задача будет в соответствии с различными требованиями.
«Я чувствую, что мы достигаем точки для таких технологий, как SBOMS, где мы должны строить эти сообщества между промышленностью и правительством и открытым исходным кодом, потому что я не думаю, что мы когда -либо видели, я думаю, такого проблемного пространства, верно? Где это влияет на такую огромную ширину программного обеспечения. Это буквально все программное обеспечение. И поэтому я взволнован и терпится тем, что происходит дальше», — сказал Брессзер. «Итак, это одна из причин, по которой я хочу убедиться, что у нас есть такие группы, как OpenSSF, которые сделают все возможное, чтобы помочь всем выровнять, и мы понимаем, что происходит».
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Сьюзен Холл является редактором спонсора нового стека. Ее задача — помочь спонсорам достичь самых широких читателей для их предоставленного контента. Она написала для нового стека с первых дней, а также сайтов … Подробнее от Сьюзен Холл
