ساهمت شركة IBM في اثنين من أدوات سلسلة التوريد مفتوحة المصدر - SBOM Utility and License Scanner - إلى معيار CycloneDX Software Bill of Materials (SBOM) الخاص بمؤسسة Open Worldwide Application Security Project (OWASP). ستعمل هاتان الأداتان على سد فجوتين أساسيتين في CycloneDX ، والتي يصفها OWASP بأنها معيار قائمة مكونات الصنف "كامل المكدس" الذي يوفر تقليلًا متقدمًا لمخاطر سلسلة التوريد.
قائمة مواد البرنامج ، أو SBOM ، عبارة عن قائمة جرد تسرد جميع المكونات الفردية المستخدمة في البرنامج. اكتشاف الثغرة الأمنية في مكتبة Log4j قبل عامين سلطت الضوء على مدى فهم قلة من المؤسسات لما هو موجود داخل البرنامج الذي كانوا يقومون بتشغيله. لم يكن كافيًا فقط معرفة مكونات الطرف الثالث والمكتبات والأطر التي تم استخدامها - يجب أن تكون المؤسسات على دراية بجميع التبعيات هؤلاء المكونات كانت تستخدم. ردًا على هجمات سلسلة التوريد المختلفة وفوضى Log4j ، أصدر البيت الأبيض مذكرة الأمر التنفيذي إلزام المطورين بتحسين أمان سلاسل التوريد الخاصة بهم. طريقة واحدة هي تضمين وصيانة SBOM لكل برنامج يوزعونه.
يقول Jamie Thomas ، المدير العام لاستراتيجية الأنظمة وتطويرها في IBM: "كانت IBM تدافع عن جميع المطورين والمؤسسات الذين يقومون بإنشاء برامج حديثة لبدء رحلتهم لإنشاء SBOMs". "هذه الأدوات هي مكملات أساسية لمساعدة المطورين في هذه الرحلة ، حتى يتمكنوا من فهم المخاطر المحتملة في سلاسل توريد البرامج الخاصة بهم بشكل أفضل."
توحيد SBOMs
تسارعت الجهود المبذولة لتوحيد SBOM مع الارتفاع الحاد في هجمات سلسلة توريد البرامج على مدار العامين الماضيين.
CycloneDX هي واحدة من اثنتين أساسيتين معايير SBOM، والآخر هو تبادل بيانات حزمة البرامج (SPDX) التابع لمؤسسة Linux Foundation. يصفه أنصار CycloneDX ، وهو الأحدث ، بأنه معيار خفيف الوزن أكثر ملاءمة لأولئك الذين يبحثون عن طريقة يمكن قراءتها آليًا لتبادل المعلومات. مؤسسة لينكس عام 2021 أعلن SPDX معيار SBOM ، على الرغم من أنه تم إنشاؤه في البداية لحالات استخدام الملكية الفكرية والترخيص. تقوم كلتا المنظمتين بتوسيع جهود معايير SBOM الخاصة بهما.
شاركت شركة IBM بنشاط في تعزيز جهود معايير CycloneDX ، وفقًا لما قاله ستيف سبرينجيت ، مدير أمن المنتجات في ServiceNow ورئيس مجموعة عمل CycloneDX التابعة لـ OWASP ، لـ Dark Reading. يقول سبرينجيت: "أمن سلسلة إمداد البرمجيات هو موضوع نقاشات على مستوى مجلس الإدارة". "هناك العديد من الطرق التي يجب على المؤسسات من خلالها تحسين ضمان سلسلة التوريد الخاصة بالبرمجيات. ويبدأ بالحصول على جميع البيانات والمزيد من الأدوات لزيادة الذكاء ".
أداة ترخيص الماسح تحقق التوازن مع SPDX
قدمت مجموعة عمل CycloneDX بعض إمكانيات مسح الترخيص على مر السنين ، بما في ذلك دعم المستوى الأساسي لمعرفات ترخيص SPDX. لكن قدرة ترخيص CycloneDX قد تخلفت عن وظيفة SPDX. يقول Springett إن الإضافة ماسح ترخيص IBM يملأ هذا الفراغ. "إنه لأمر رائع أن يكون لدينا ماسح ضوئي للترخيص كجزء من المشروع ،" قال Springett لـ Dark Reading. "إن وجود أداة ترخيص مخصصة سيدعو في الواقع المزيد من الأشخاص إلى جدول Cyclone DX الذي أنشأناه."
ويوافقه الرأي بريان فوكس ، المؤسس المشارك ورئيس قسم التكنولوجيا في شركة Sonatype ، مزود أدوات AppSec. قال فوكس: "أعتقد أن هذا يساعد على موازنة الأمور مع CycloneDX من ناحية الترخيص". "سيوفر المزيد من اللبنات الأساسية لتمكين الأدوات في النظام البيئي من العمل بشكل أفضل. تعد القدرة على إضافة البيانات المرخصة بسهولة أكبر إلى CycloneDX SBOM ، إذا لم يكن لديك أدوات موجودة للقيام بذلك ، أداة مفيدة. تعد القدرة على التحقق من كلا التنسيقين أداة مفيدة أيضًا ".
في منشور مدونة OWASP يوم الأربعاء الإعلان عن مساهمة IBM، أشار Springett إلى أن ماسح الترخيص الخاص بشركة IBM يفحص الملفات بحثًا عن التراخيص والشروط القانونية. "يمكن استخدامه للمساعدة في تحديد تراخيص مطابقة النص واستثناءات الترخيص من الإصدار الكامل والمنشور قائمة ترخيص SPDX،" هو كتب. "يمكن أيضًا تهيئته لتحديد المصطلحات القانونية الإضافية والكلمات الرئيسية والأسماء المستعارة والتراخيص بخلاف SPDX. كمكتبة ، تم تصميم ماسح الترخيص ليتم دمجه في برنامج إنشاء قائمة مكونات الصنف الحالي أو يمكن استخدامه بمفرده كأداة مساعدة لسطر الأوامر. "
تضيف أداة SBOM واجهات برمجة التطبيقات إلى CycloneDX
وصف سبرينجيت شركة آي بي إم أداة SBOM كنظام أساسي لواجهة برمجة التطبيقات يمكنه التحقق من BOMs بتنسيق CycloneDX أو SPDX مع مخططاتهم المنشورة. يمكنه التحقق من صحة وتحليل مجموعة متنوعة من أنواع قائمة المواد ، بما في ذلك الأجهزة (HBOMs) و SaaS (SaaSBOMs). أشار Springett إلى أن SBOM Utility ستدعم في المستقبل معيار التحقق من مكونات البرامج (SCVS) الخاص بـ OWASP ، "والذي يحدد نموذج نضج BOM (BMM) للمساعدة في تحديد وتقليل المخاطر في سلسلة توريد البرامج ".
وأشار أيضًا إلى أن أداة SBOM يمكنها معالجة مستندات مثل تقارير الكشف عن الثغرات الأمنية (VDRs) وتنسيقات بيانات تبادل الثغرات الأمنية (VEX) ، والتي حددتها CycloneDX لتوفير تقييم المخاطر.
يقول Springett: "تعتبر أداة SBOM المساعدة رائعة لأنها تأخذ نهج واجهة برمجة التطبيقات وتسمح للمؤسسات بتقسيم نموذج بيانات CycloneDX وجميع البيانات الموجودة فيه إلى شرائح وتقسيمها". "إذا كنت تهتم بجوانب معينة من فاتورة المواد ، فيمكنك الاستعلام عنها بسرعة ، وهو أمر رائع. ويمكنك بعد ذلك السماح للمؤسسات بالبدء في إنشاء سياسة استنادًا إلى أنواع البيانات التي قد تكون موجودة أو غير موجودة في قائمة المواد هذه. "
بينما قامت شركة IBM في البداية ببناء SBOM Utility and License Scanner لاستخدامها ، لم تقل الشركة ما إذا كانت تخطط لإصدار إصدارات تجارية.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/dr-tech/ibm-contributes-supply-chain-security-tools-to-owasp
- 2021
- 7
- a
- القدرة
- ماهرون
- من نحن
- معجل
- بنشاط
- في الواقع
- إضافة
- إضافي
- يضيف
- متقدم
- الدعوة
- مساعدة
- الكل
- يسمح
- تحليل
- و
- API
- واجهات برمجة التطبيقات
- تطبيق
- أمان التطبيق
- نهج
- الجوانب
- التقييم المناسبين
- توكيد
- الهجمات
- الرصيد
- على أساس
- لان
- يجري
- أفضل
- مشروع قانون
- Blocks
- المدونة
- BMM
- يجلب
- ابني
- بنيت
- قدرات
- يهمني
- الحالات
- معين
- سلسلة
- السلاسل
- كرسي
- فوضى
- المؤسس المشارك
- تجاري
- حول الشركة
- إكمال
- عنصر
- مكونات
- ساهمت
- استطاع
- خلق
- خلق
- خلق
- حاسم
- CTO
- غامق
- قراءة مظلمة
- البيانات
- تبادل البيانات
- مخصصة
- تحديد
- وصف
- وصف
- تصميم
- المطورين
- التطوير التجاري
- مدير المدارس
- إفشاء
- اكتشاف
- مناقشات
- نشر
- وثائق
- قيادة
- DX
- بسهولة
- النظام الإيكولوجي
- جهود
- تمكين
- كاف
- كل
- تبادل
- القائمة
- توسيع
- خيالي
- قليل
- ملفات
- شغل
- دورة تأسيسية
- الأطر
- تبدأ من
- وظيفة
- مستقبل
- العلاجات العامة
- جيل
- عظيم
- تجمع
- أجهزة التبخير
- وجود
- مساعدة
- يساعد
- سلط الضوء
- منـزل
- كيفية
- HTML
- HTTPS
- IBM
- تحديد
- تحديد
- تحسن
- in
- بما فيه
- فرد
- معلومات
- في البداية
- المتكاملة
- فكري
- الملكية الفكرية
- رؤيتنا
- أدخلت
- المخزون
- دعا
- نشر
- IT
- نفسها
- جيمي
- رحلة
- علم
- شروط وأحكام
- المكتبات
- المكتبة
- حقوق الملكية الفكرية
- مرخص
- التراخيص
- الترخيص
- خفيفة الوزن
- لينكس
- مؤسسة لينكس
- قائمة
- log4j
- المحافظة
- مدير
- كثير
- مطابقة
- مادة
- المواد
- نضج
- نموذج
- تقدم
- الأكثر من ذلك
- حاجة
- وأشار
- ONE
- جاكيت
- المصدر المفتوح
- المنظمات
- أخرى
- صفقة
- جزء
- شارك
- الماضي
- مجتمع
- قطعة
- خطط
- المنصة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- سياسة
- منشور
- محتمل
- ابتدائي
- عملية المعالجة
- المنتج
- تنفيذ المشاريع
- الملكية
- تزود
- مزود
- ويوفر
- نشرت
- بسرعة
- نادي القراءة
- تقليص
- الافراج عن
- التقارير
- هؤلاء
- استجابة
- ارتفاع
- المخاطرة
- تقييم المخاطر
- المخاطر
- تشغيل
- ادارة العلاقات مع
- قال
- يقول
- مسح
- أمن
- تسعى
- حاد
- ينبغي
- جانب
- شريحة
- So
- تطبيقات الكمبيوتر
- بعض
- مصدر
- محدد
- معيار
- المعايير
- بداية
- يبدأ
- ستيف
- الإستراتيجيات
- هذه
- تزويد
- سلسلة التوريد
- سلاسل التوريد
- الدعم
- أنظمة
- جدول
- يأخذ
- يروي
- سياسة الحجب وتقييد الوصول
- •
- من مشاركة
- الأشياء
- طرف ثالث
- إلى
- أداة
- أدوات
- موضوع
- أنواع
- فهم
- فهم
- تستخدم
- سهل حياتك
- التحقق من صحة
- تشكيلة
- مختلف
- Ve
- التحقق
- الضعف
- طرق
- الأربعاء
- ابحث عن
- سواء
- التي
- أبيض
- البيت الابيض
- سوف
- للعمل
- عامل
- فريق العمل
- في جميع أنحاء العالم
- سنوات
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت