CISA خواستار بهبود شفافیت زنجیره تامین نرم افزار ایالات متحده است

CISA خواستار بهبود شفافیت زنجیره تامین نرم افزار ایالات متحده است

آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) نسخه سوم را منتشر کرد قاب بندی شفافیت اجزای برنامهیک سند کلیدی با هدف بهبود وضوح و قابلیت استفاده فهرست مواد برنامه (SBOM).

این آ،ین نسخه، توسعه یافته توسط CISA's SBOM Tools and Implementation Working Group، راهنمایی های تجدید نظر شده ای را برای ایجاد SBOM و مشخص ، اجزای نرم افزار ارائه می دهد.

این به‌روزرس،‌ها برای کمک به سازمان‌ها برای مق، با چالش‌های رو به رشد مرتبط با شفافیت و امنیت زنجیره تأمین نرم‌افزار در نظر گرفته شده‌اند.

راهنمایی جدید در مورد ایجاد SBOM

چاپ سوم از قاب بندی شفافیت اجزای برنامه در نسخه 2021 با تعریف بیشتر ویژگی های اصلی SBOM گسترش می یابد.

این ویژگی ها در سه سطح سازماندهی می شوند – حداقل انتظارات، اقدامات توصیه شده، و اه، آرم، – سازمان ها را با چارچوب روشنی برای مدیریت اجزای برنامه فراهم می کند.

CISA گفت که این راهنمایی برای شناسایی و ردیابی آسیب‌پذیری‌های نرم‌افزار، ساده‌سازی واکنش به حادثه و کاهش خطرات در زنجیره‌های تامین نرم‌افزار پیچیده‌تر مورد نیاز است.

این گزارش تاکید می کند که صرفاً گنجاندن اطلاعات اولیه در SBOM برای رسیدگی به همه موارد استفاده کافی نیست. با افزایش استفاده از SBOM ها، سازمان ها باید شیوه های پیشرفته تری را برای به اشتراک گذاری و مدیریت این داده ها اتخاذ کنند.

این تلاش‌ها حیاتی هستند زیرا سازمان‌های جه، با چالش‌های امنیتی عملیاتی و زنجیره تامین فزاینده به دلیل دید محدود به اجزای نرم‌افزاری مستقر در محیط‌هایشان مواجه هستند.

بیشتر بخو،د: اعتماد و دیده شدن را برای مطابقت با مقررات جدید سایبری اتحادیه اروپا افزایش دهید

SBOM ها یک مدل هماهنگ برای افزایش اتوماسیون امنیت سایبری و بهبود شفافیت کلی ارائه می دهند.

اهمیت ویژگی های اصلی SBOM

برای تسهیل پذیرش سریع، این گزارش همچنین مجموعه‌ای از ویژگی‌های کلیدی مورد نیاز برای مفید بودن SBOM را شناسایی می‌کند.

این ویژگی‌ها با فرمت‌های موجود مانند SPDX و CycloneDX سازگار هستند و به اجزای نرم‌افزار اجازه می‌دهند تا به‌طور منحصربه‌فرد شناسایی و در زنجیره‌های تامین مرتبط شوند.

با اطمینان از این سطح اولیه شفافیت، سازمان ها می توانند امنیت را بهتر مدیریت کنند، آسیب پذیری ها را ردیابی کنند و اقدامات کاهشی را اجرا کنند.

این سند همچنین بر نیاز به داده های قوی تر برای پشتیب، از انواع موارد استفاده خاص، از جمله بهبود مدیریت دارایی و مالکیت م،وی تاکید می کند.

SBOM ها و آینده امنیت زنجیره تامین نرم افزار

رهنمودهای جدید CISA در زمان حساسی ارائه می‌شود، زیرا سازمان‌ها در سراسر جهان با افزایش خطرات زنجیره تامین نرم‌افزار دست و پنجه نرم می‌کنند. ناتو، در دیدن اجزای نرم افزار، سوالات بسیاری را در مورد آسیب پذیری های شناخته شده بی پاسخ گذاشت.

انتظار می‌رود ایجاد قالب‌های استاندارد SBOM برای رفع این آسیب‌پذیری‌ها، سازمان‌های کاربر نهایی و فروشندگان نرم‌افزار را قادر سازد تا به طور مؤثرتری بر امنیت شبکه‌های خود نظارت و مدیریت کنند.

ادامه توسعه SBOM ها به توسعه روش های هماهنگ برای به اشتراک گذاری داده های SBOM و در دسترس بودن ابزارهای خودکار برای پشتیب، از ایجاد و استفاده از آنها بستگی دارد.

از آنجایی که سازمان‌ها SBOM را اتخاذ می‌کنند، هدف دستورالعمل‌های جدید CISA اطمینان از جمع‌آوری و تبادل کارآمد اطلاعات حیاتی است که منجر به مدیریت بهتر دارایی، ردیابی آسیب‌پذیری و مدیریت کلی ریسک می‌شود.

منبع: https://www.infosecurity-magazine.com/news/cisa-software-supply-chain/