IBM دو ابزار منبع باز زنجیره تامین - SBOM Utility و License Scanner - را به استاندارد لایحه مواد نرم افزار CycloneDX (SBOM) بنیاد پروژه امنیت جهانی برنامه باز (OWASP) کمک کرده است. این دو ابزار دو شکاف مهم در CycloneDX را پر می کنند، که OWASP آن را به عنوان یک استاندارد BOM "فول پشته" توصیف می کند که کاهش ریسک زنجیره تامین پیشرفته را فراهم می کند.
صورتحساب مواد نرم افزاری یا SBOM، فهرستی است که تمام اجزای منفرد مورد استفاده در نرم افزار را فهرست می کند. کشف آسیب پذیری در کتابخانه Log4j دو سال پیش نشان داد که تعداد کمی از سازمانها واقعاً درک میکنند که چه چیزی در داخل نرمافزاری که اجرا میکنند وجود دارد. فقط دانستن اینکه کدام مؤلفهها، کتابخانهها و چارچوبهای شخص ثالث استفاده میشوند کافی نبود - سازمانها باید از همه وابستگیها آگاه باشند. کسانی که قطعات استفاده می شد در پاسخ به حملات مختلف زنجیره تامین و هرج و مرج Log4j، کاخ سفید یک نامه صادر کرد فرمان اجرایی توسعه دهندگان را ملزم به بهبود امنیت زنجیره تامین خود می کند. یک راه این است که شامل و حفظ SBOM برای هر نرم افزاری که توزیع می کنند.
جیمی توماس، مدیر کل استراتژی و توسعه سیستم های IBM می گوید: «IBM از همه توسعه دهندگان و سازمان ها حمایت کرده است که نرم افزارهای مدرن ایجاد کنند تا سفر خود را برای ایجاد SBOM آغاز کنند. "این ابزارها مکمل های اساسی برای کمک به توسعه دهندگان در این سفر هستند، بنابراین آنها می توانند خطرات بالقوه در زنجیره تامین نرم افزار خود را بهتر درک کنند."
استانداردسازی SBOM ها
تلاش ها برای استانداردسازی SBOM با افزایش شدید حملات زنجیره تامین نرم افزار در دو سال گذشته تسریع شده است.
CycloneDX یکی از دو اصلی است استانداردهای SBOM، دیگری تبادل اطلاعات بسته نرم افزاری بنیاد لینوکس (SPDX) است. طرفداران CycloneDX، که جدیدتر است، آن را به عنوان یک استاندارد سبک تر توصیف می کنند که برای کسانی که به دنبال راهی قابل خواندن توسط ماشین برای تبادل اطلاعات هستند، مناسب تر است. بنیاد لینوکس در سال 2021 SPDX را اعلام کرد یک استاندارد SBOM، اگرچه در ابتدا برای موارد استفاده از مالکیت معنوی و صدور مجوز ایجاد شد. هر دو سازمان در حال گسترش تلاش های مربوط به استانداردهای SBOM خود هستند.
استیو اسپرینگت، مدیر امنیت محصول در ServiceNow و رئیس گروه کاری CycloneDX OWASP، به Dark Reading می گوید IBM فعالانه در پیشبرد تلاش های استاندارد CycloneDX شرکت کرده است. اسپرینگت می گوید: «امنیت زنجیره تأمین نرم افزار موضوعی است که در سطح هیئت مدیره بحث می شود. راه های زیادی وجود دارد که سازمان ها باید تضمین زنجیره تامین نرم افزار خود را بهبود بخشند. و با داشتن تمام داده ها و ابزارهای بیشتر برای ایجاد هوش بیشتر شروع می شود."
ابزار اسکنر مجوز تعادل را با SPDX به ارمغان می آورد
گروه کاری CycloneDX برخی از قابلیتهای اسکن مجوز را در طول سالها معرفی کرده است، از جمله پشتیبانی در سطح پایه برای شناسههای مجوز SPDX. اما قابلیت صدور مجوز CycloneDX از عملکرد SPDX عقب مانده است. اسپرینگت می گوید اضافه شدن از اسکنر لایسنس IBM آن خلاء را پر می کند اسپرینگت به Dark Reading می گوید: «خیلی خوب است که ما یک اسکنر مجوز به عنوان بخشی از پروژه داریم. "داشتن یک ابزار مجوز اختصاصی در واقع افراد بیشتری را به جدول Cyclone DX که ما ساخته ایم دعوت می کند."
برایان فاکس، یکی از بنیانگذاران و CTO ارائه دهنده ابزار AppSec Sonatype، موافق است. فاکس گفت: «فکر میکنم این به تعادل همه چیز با CycloneDX در سمت صدور مجوز کمک میکند. "این بلوک های ساختمانی بیشتری را برای فعال کردن ابزارهای موجود در اکوسیستم فراهم می کند تا بهتر کار کنند. اگر ابزار موجود برای انجام آن ندارید، میتوانید به راحتی دادههای دارای مجوز را به CycloneDX SBOM خود اضافه کنید، یک ابزار مفید است. داشتن قابلیت اعتبارسنجی هر دو فرمت نیز یک ابزار مفید است."
در یک پست وبلاگ OWASP در روز چهارشنبه اعلام مشارکت IBMاسپرینگت اشاره کرد که لایسنس اسکنر IBM پرونده ها را برای مجوزها و شرایط قانونی اسکن می کند. می توان از آن برای کمک به شناسایی مجوزهای تطبیق متن و استثناهای مجوز از کامل، منتشر شده استفاده کرد لیست مجوز SPDX،" او نوشت. همچنین میتوان آن را برای شناسایی اصطلاحات قانونی اضافی، کلمات کلیدی، نامهای مستعار و مجوزهای غیر SPDX پیکربندی کرد. به عنوان یک کتابخانه، License Scanner به گونه ای طراحی شده است که در نرم افزار تولید BOM موجود ادغام شود یا ممکن است به تنهایی به عنوان یک ابزار خط فرمان مورد استفاده قرار گیرد.
SBOM Utility API ها را به CycloneDX اضافه می کند
اسپرینگت IBM را توصیف کرد ابزار SBOM به عنوان یک پلتفرم API که می تواند BOM های با فرمت CycloneDX یا SPDX را با طرحواره های منتشر شده خود تأیید کند. می تواند انواع مختلف BOM از جمله سخت افزار (HBOMs) و SaaS (SaaSBOMs) را اعتبارسنجی و تجزیه و تحلیل کند. اسپرینگت خاطرنشان کرد که در آینده، SBOM Utility از استاندارد تأیید مؤلفه نرم افزاری OWASP (SCVS) پشتیبانی خواهد کرد، «که یک مدل بلوغ BOM (BMM) برای کمک به شناسایی و کاهش ریسک در زنجیره تامین نرم افزار.
همچنین، وی خاطرنشان کرد که SBOM Utility میتواند اسنادی مانند گزارشهای افشای آسیبپذیری (VDRs) و فرمتهای دادههای آسیبپذیری eXchange (VEX) را پردازش کند، که CycloneDX مشخص کرده است که ارزیابی ریسک را ارائه میکنند.
اسپرینگت میگوید: «SBOM Utility عالی است زیرا رویکرد API دارد و به سازمانها اجازه میدهد تا مدل داده CycloneDX و تمام دادههای موجود در آن را برش دهند. "اگر به جنبه های خاصی از صورتحساب مواد اهمیت می دهید، می توانید به سرعت آن را پرس و جو کنید، که فوق العاده است. و سپس میتوانید به سازمانها اجازه دهید تا بر اساس انواع دادههایی که ممکن است در آن صورتحساب وجود داشته باشند یا نباشند، خطمشی ایجاد کنند.
در حالی که IBM در ابتدا SBOM Utility و License Scanner را برای استفاده خود ساخته بود، این شرکت نگفته است که آیا قصد دارد نسخه های تجاری آن را منتشر کند یا خیر.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/dr-tech/ibm-contributes-supply-chain-security-tools-to-owasp
- 2021
- 7
- a
- توانایی
- قادر
- درباره ما
- تسریع شد
- فعالانه
- واقعا
- اضافه
- اضافی
- می افزاید:
- پیشرفته
- حمایت از
- کمک
- معرفی
- اجازه می دهد تا
- تحلیل
- و
- API
- رابط های برنامه کاربردی
- کاربرد
- امنیت نرم افزار
- روش
- جنبه
- ارزیابی
- اطمینان
- حمله
- برج میزان
- مستقر
- زیرا
- بودن
- بهتر
- لایحه
- بلاک ها
- بلاگ
- BMM
- به ارمغان می آورد
- بنا
- ساخته
- قابلیت های
- اهميت دادن
- موارد
- معین
- زنجیر
- زنجیر
- صندلی
- هرج و مرج
- بنیانگذاران
- تجاری
- شرکت
- کامل
- جزء
- اجزاء
- کمک
- میتوانست
- ایجاد
- ایجاد شده
- ایجاد
- بسیار سخت
- CTO
- تاریک
- تاریک خواندن
- داده ها
- تبادل اطلاعات
- اختصاصی
- تعریف کردن
- توصیف
- شرح داده شده
- طراحی
- توسعه دهندگان
- پروژه
- مدیر
- افشاء
- کشف
- بحث و گفتگو
- توزیع کردن
- اسناد و مدارک
- راندن
- DX
- به آسانی
- اکوسیستم
- تلاش
- قادر ساختن
- کافی
- هر
- تبادل
- موجود
- گسترش
- خارق العاده
- کمی از
- فایل ها
- پر کردن
- پایه
- چارچوب
- از جانب
- قابلیت
- آینده
- سوالات عمومی
- نسل
- بزرگ
- گروه
- سخت افزار
- داشتن
- کمک
- کمک می کند
- برجسته
- خانه
- چگونه
- HTML
- HTTPS
- آی بی ام
- شناسایی
- شناسایی
- بهبود
- in
- از جمله
- فرد
- اطلاعات
- در ابتدا
- یکپارچه
- فکری
- مالکیت معنوی
- اطلاعات
- معرفی
- فهرست
- دعوت
- صادر
- IT
- خود
- جیمی
- سفر
- دانستن
- قانونی
- کتابخانه ها
- کتابخانه
- مجوز
- مجاز
- مجوزها
- صدور مجوز
- سبک وزن
- لینوکس
- پایه لینوکس
- فهرست
- log4j
- حفظ
- مدیر
- بسیاری
- مطابق
- ماده
- مصالح
- بلوغ
- مدل
- مدرن
- بیش
- نیاز
- اشاره کرد
- ONE
- باز کن
- منبع باز
- سازمان های
- دیگر
- بسته
- بخش
- شرکت
- گذشته
- مردم
- قطعه
- برنامه
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- پست
- پتانسیل
- اصلی
- روند
- محصول
- پروژه
- ویژگی
- ارائه
- ارائه دهنده
- فراهم می کند
- منتشر شده
- به سرعت
- مطالعه
- کاهش
- آزاد
- گزارش ها
- قابل احترام
- پاسخ
- طلوع
- خطر
- ارزیابی ریسک
- خطرات
- در حال اجرا
- SAAS
- سعید
- می گوید:
- پویش
- تیم امنیت لاتاری
- به دنبال
- تیز
- باید
- طرف
- تکه
- So
- نرم افزار
- برخی از
- منبع
- مشخص شده
- استاندارد
- استانداردهای
- شروع
- شروع می شود
- استیو
- استراتژی
- چنین
- عرضه
- زنجیره تامین
- زنجیره تامین
- پشتیبانی
- سیستم های
- جدول
- طول می کشد
- می گوید
- قوانین و مقررات
- La
- شان
- اشیاء
- شخص ثالث
- به
- ابزار
- ابزار
- موضوع
- انواع
- فهمیدن
- فهمید
- استفاده کنید
- سودمندی
- تصدیق
- تنوع
- مختلف
- Ve
- تایید
- آسیب پذیری
- راه
- چهار شنبه
- چی
- چه
- که
- سفید
- کاخ سفید
- اراده
- مهاجرت کاری
- کارگر
- گروه کاری
- در سرتاسر جهان
- سال
- شما
- شما
- زفیرنت
