آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نسخه سوم را منتشر کرد قاب بندی شفافیت اجزای برنامهیک سند کلیدی با هدف بهبود وضوح و قابلیت استفاده فهرست مواد برنامه (SBOM).
این آ،ین نسخه، توسعه یافته توسط CISA's SBOM Tools and Implementation Working Group، راهنمایی های تجدید نظر شده ای را برای ایجاد SBOM و مشخص ، اجزای نرم افزار ارائه می دهد.
این بهروزرس،ها برای کمک به سازمانها برای مق، با چالشهای رو به رشد مرتبط با شفافیت و امنیت زنجیره تأمین نرمافزار در نظر گرفته شدهاند.
راهنمایی جدید در مورد ایجاد SBOM
چاپ سوم از قاب بندی شفافیت اجزای برنامه در نسخه 2021 با تعریف بیشتر ویژگی های اصلی SBOM گسترش می یابد.
این ویژگی ها در سه سطح سازماندهی می شوند – حداقل انتظارات، اقدامات توصیه شده، و اه، آرم، – سازمان ها را با چارچوب روشنی برای مدیریت اجزای برنامه فراهم می کند.
CISA گفت که این راهنمایی برای شناسایی و ردیابی آسیبپذیریهای نرمافزار، سادهسازی واکنش به حادثه و کاهش خطرات در زنجیرههای تامین نرمافزار پیچیدهتر مورد نیاز است.
این گزارش تاکید می کند که صرفاً گنجاندن اطلاعات اولیه در SBOM برای رسیدگی به همه موارد استفاده کافی نیست. با افزایش استفاده از SBOM ها، سازمان ها باید شیوه های پیشرفته تری را برای به اشتراک گذاری و مدیریت این داده ها اتخاذ کنند.
این تلاشها حیاتی هستند زیرا سازمانهای جه، با چالشهای امنیتی عملیاتی و زنجیره تامین فزاینده به دلیل دید محدود به اجزای نرمافزاری مستقر در محیطهایشان مواجه هستند.
بیشتر بخو،د: اعتماد و دیده شدن را برای مطابقت با مقررات جدید سایبری اتحادیه اروپا افزایش دهید
SBOM ها یک مدل هماهنگ برای افزایش اتوماسیون امنیت سایبری و بهبود شفافیت کلی ارائه می دهند.
اهمیت ویژگی های اصلی SBOM
برای تسهیل پذیرش سریع، این گزارش همچنین مجموعهای از ویژگیهای کلیدی مورد نیاز برای مفید بودن SBOM را شناسایی میکند.
این ویژگیها با فرمتهای موجود مانند SPDX و CycloneDX سازگار هستند و به اجزای نرمافزار اجازه میدهند تا بهطور منحصربهفرد شناسایی و در زنجیرههای تامین مرتبط شوند.
با اطمینان از این سطح اولیه شفافیت، سازمان ها می توانند امنیت را بهتر مدیریت کنند، آسیب پذیری ها را ردیابی کنند و اقدامات کاهشی را اجرا کنند.
این سند همچنین بر نیاز به داده های قوی تر برای پشتیب، از انواع موارد استفاده خاص، از جمله بهبود مدیریت دارایی و مالکیت م،وی تاکید می کند.
SBOM ها و آینده امنیت زنجیره تامین نرم افزار
رهنمودهای جدید CISA در زمان حساسی ارائه میشود، زیرا سازمانها در سراسر جهان با افزایش خطرات زنجیره تامین نرمافزار دست و پنجه نرم میکنند. ناتو، در دیدن اجزای نرم افزار، سوالات بسیاری را در مورد آسیب پذیری های شناخته شده بی پاسخ گذاشت.
انتظار میرود ایجاد قالبهای استاندارد SBOM برای رفع این آسیبپذیریها، سازمانهای کاربر نهایی و فروشندگان نرمافزار را قادر سازد تا به طور مؤثرتری بر امنیت شبکههای خود نظارت و مدیریت کنند.
ادامه توسعه SBOM ها به توسعه روش های هماهنگ برای به اشتراک گذاری داده های SBOM و در دسترس بودن ابزارهای خودکار برای پشتیب، از ایجاد و استفاده از آنها بستگی دارد.
از آنجایی که سازمانها SBOM را اتخاذ میکنند، هدف دستورالعملهای جدید CISA اطمینان از جمعآوری و تبادل کارآمد اطلاعات حیاتی است که منجر به مدیریت بهتر دارایی، ردیابی آسیبپذیری و مدیریت کلی ریسک میشود.
منبع: https://www.infosecurity-magazine.com/news/cisa-software-supply-chain/