IBM نے OWASP میں سپلائی چین سیکیورٹی ٹولز کا تعاون کیا۔

IBM نے OWASP میں سپلائی چین سیکیورٹی ٹولز کا تعاون کیا۔

ٹائم سٹیمپ: 2 مارچ 2023 شام 9:44 بجے
IBM Contributes Supply Chain Security Tools to OWASP PlatoBlockchain Data Intelligence. Vertical Search. Ai.

IBM نے اوپن ورلڈ وائیڈ ایپلیکیشن سیکیورٹی پروجیکٹ (OWASP) فاؤنڈیشن کے CycloneDX سافٹ ویئر بل آف میٹریلز (SBOM) کے معیار میں دو اوپن سورس سپلائی چین ٹولز — SBOM یوٹیلیٹی اور لائسنس سکینر — کا تعاون کیا ہے۔ یہ دو ٹولز CycloneDX میں دو اہم خلاء کو پُر کریں گے، جسے OWASP ایک "مکمل اسٹیک" BOM معیار کے طور پر بیان کرتا ہے جو سپلائی چین کے خطرے میں کمی فراہم کرتا ہے۔

مواد کا سافٹ ویئر بل، یا SBOM، ایک انوینٹری ہے جس میں سافٹ ویئر میں استعمال ہونے والے تمام انفرادی اجزاء کی فہرست ہوتی ہے۔ میں خطرے کی دریافت Log4j لائبریری دو سال پہلے اس بات پر روشنی ڈالی کہ کس طرح کچھ تنظیمیں واقعی سمجھتی ہیں کہ وہ جو سافٹ ویئر چلا رہے تھے اس کے اندر کیا ہے۔ صرف یہ جاننا کافی نہیں تھا کہ کون سے فریق ثالث کے اجزاء، لائبریریاں اور فریم ورک استعمال کیے جا رہے ہیں — تنظیموں کو تمام انحصار سے آگاہ ہونے کی ضرورت ہے۔ ان اجزاء استعمال کر رہے تھے۔ سپلائی چین کے مختلف حملوں اور Log4j افراتفری کے جواب میں، وائٹ ہاؤس نے ایک جاری کیا۔ ایگزیکٹو آرڈر ڈیولپرز کو یہ حکم دینا کہ وہ اپنی سپلائی چینز کی سیکیورٹی کو بہتر بنائیں۔ ایک طریقہ یہ ہے۔ SBOM کو شامل اور برقرار رکھنا سافٹ ویئر کے ہر ٹکڑے کے لیے جو وہ تقسیم کرتے ہیں۔

آئی بی ایم کے نظام حکمت عملی اور ترقی کے جنرل مینیجر جیمی تھامس کہتے ہیں، "IBM جدید سافٹ ویئر بنانے والے تمام ڈویلپرز اور تنظیموں کو SBOMs بنانے کے لیے اپنا سفر شروع کرنے کی وکالت کر رہا ہے۔" "یہ ٹولز اس سفر میں ڈویلپرز کی مدد کے لیے بنیادی تکمیل ہیں، تاکہ وہ اپنے سافٹ ویئر سپلائی چینز میں ممکنہ خطرات کو بہتر طور پر سمجھ سکیں۔"

SBOMs کو معیاری بنانا

SBOM کو معیاری بنانے کی کوششوں میں پچھلے دو سالوں میں سافٹ ویئر سپلائی چین حملوں میں تیزی سے اضافہ ہوا ہے۔

CycloneDX دو بنیادی میں سے ایک ہے۔ SBOM معیارات، دوسرا لینکس فاؤنڈیشن کا سافٹ ویئر پیکج ڈیٹا ایکسچینج (SPDX) ہے۔ CycloneDX کے حامی، جو کہ نیا ہے، اسے ایک زیادہ ہلکے وزن کے معیار کے طور پر بیان کرتے ہیں جو معلومات کے تبادلے کے لیے مشین سے پڑھنے کے قابل طریقہ تلاش کرنے والوں کے لیے زیادہ موزوں ہے۔ 2021 میں لینکس فاؤنڈیشن SPDX کا اعلان کیا۔ ایک SBOM معیار، اگرچہ یہ ابتدائی طور پر املاک دانش اور لائسنسنگ کے استعمال کے معاملات کے لیے بنایا گیا تھا۔ دونوں ادارے اپنے متعلقہ SBOM معیارات کی کوششوں کو بڑھا رہے ہیں۔

IBM نے CycloneDX کے معیارات کی کوششوں کو آگے بڑھانے میں فعال طور پر حصہ لیا ہے، Steve Springett، ServiceNow میں پروڈکٹ سیکیورٹی کے ڈائریکٹر اور OWASP کے CycloneDX ورکنگ گروپ کے سربراہ، ڈارک ریڈنگ کو بتاتے ہیں۔ اسپرنگیٹ کا کہنا ہے کہ "سافٹ ویئر سپلائی چین سیکیورٹی بورڈ کی سطح پر بات چیت کا موضوع ہے۔ "بہت سے طریقے ہیں کہ تنظیموں کو اپنے سافٹ ویئر سپلائی چین کی یقین دہانی کو بہتر بنانا چاہئے۔ اور یہ حقیقت میں زیادہ ذہانت کو چلانے کے لیے تمام ڈیٹا اور مزید ٹولز کے ساتھ شروع ہوتا ہے۔

لائسنسنگ سکینر ٹول SPDX کے ساتھ بیلنس لاتا ہے۔

CycloneDX ورکنگ گروپ نے سالوں کے دوران لائسنس سکیننگ کی کچھ صلاحیتیں متعارف کروائی ہیں، بشمول SPDX لائسنس IDs کے لیے بنیادی سطح کی مدد۔ لیکن CycloneDX کی لائسنسنگ کی صلاحیت نے SPDX کی فعالیت کو پیچھے چھوڑ دیا ہے۔ Springett کے علاوہ کا کہنا ہے کہ IBM کا لائسنس سکینر اس خلا کو پر کرتا ہے۔ "یہ بہت اچھا ہے کہ ہمارے پاس پروجیکٹ کے حصے کے طور پر لائسنس سکینر ہے،" اسپرنگٹ نے ڈارک ریڈنگ کو بتایا۔ "ایک سرشار لائسنس ٹول کا ہونا دراصل زیادہ لوگوں کو سائیکلون DX ٹیبل پر مدعو کرے گا جسے ہم نے بنایا ہے۔"

برائن فاکس، AppSec ٹول فراہم کرنے والے Sonatype کے شریک بانی اور CTO نے اتفاق کیا۔ "میرے خیال میں یہ لائسنسنگ سائیڈ پر سائکلون ڈی ایکس کے ساتھ چیزوں کو متوازن کرنے میں مدد کرتا ہے،" فاکس نے کہا۔ "یہ ایکو سسٹم میں ٹولز کو بہتر طریقے سے کام کرنے کے قابل بنانے کے لیے مزید بلڈنگ بلاکس فراہم کرے گا۔ اپنے CycloneDX SBOM میں زیادہ آسانی سے لائسنس یافتہ ڈیٹا شامل کرنے کے قابل ہونا، اگر آپ کے پاس ایسا کرنے کے لیے موجودہ ٹولنگ نہیں ہے، تو یہ ایک مفید افادیت ہے۔ دونوں فارمیٹس کی توثیق کرنے کی صلاحیت کا ہونا بھی ایک مفید افادیت ہے۔

بدھ کو ایک OWASP بلاگ پوسٹ میں IBM کے تعاون کا اعلان کرنا، Springett نے نوٹ کیا کہ IBM کا لائسنس سکینر لائسنس اور قانونی شرائط کے لیے فائلوں کو سکین کرتا ہے۔ "یہ مکمل، شائع شدہ سے متن کے مماثل لائسنس اور لائسنس کے استثناء کی شناخت میں مدد کے لیے استعمال کیا جا سکتا ہے۔ SPDX لائسنس کی فہرست،" اس نے لکھا. "اسے اضافی قانونی اصطلاحات، کلیدی الفاظ، عرفی نام، اور غیر SPDX لائسنسوں کی شناخت کے لیے بھی ترتیب دیا جا سکتا ہے۔ ایک لائبریری کے طور پر، لائسنس سکینر کو موجودہ BOM جنریشن سافٹ ویئر میں ضم کرنے کے لیے ڈیزائن کیا گیا ہے یا اسے کمانڈ لائن یوٹیلیٹی کے طور پر استعمال کیا جا سکتا ہے۔

SBOM یوٹیلیٹی CycloneDX میں APIs کا اضافہ کرتی ہے۔

اسپرنگیٹ نے IBM کی وضاحت کی۔ SBOM یوٹیلٹی ایک API پلیٹ فارم کے طور پر جو CycloneDX یا SPDX فارمیٹ شدہ BOMs کو ان کے شائع شدہ اسکیموں کے ساتھ درست کر سکتا ہے۔ یہ ہارڈ ویئر (HBOMs) اور SaaS (SaaSBOMs) سمیت متعدد BOM اقسام کی توثیق اور تجزیہ کر سکتا ہے۔ مستقبل میں، اسپرنگیٹ نے نوٹ کیا، SBOM یوٹیلیٹی OWASP کے سافٹ ویئر کمپوننٹ ویری فکیشن اسٹینڈرڈ (SCVS) کی حمایت کرے گی، جو کہ ایک BOM میچورٹی ماڈل (BMM) سافٹ ویئر سپلائی چین میں خطرے کی نشاندہی کرنے اور اسے کم کرنے میں مدد کرنے کے لیے۔

اس کے علاوہ، اس نے نوٹ کیا کہ SBOM یوٹیلیٹی دستاویزات پر کارروائی کر سکتی ہے جیسے کہ VDRs اور Vulnerability Exploitability Exchange (VEX) ڈیٹا فارمیٹس، جو CycloneDX نے خطرے کی تشخیص فراہم کرنے کی وضاحت کی ہے۔

اسپرنگیٹ کا کہنا ہے کہ "SBOM یوٹیلیٹی بہت اچھی ہے کیونکہ یہ ایک API اپروچ لیتی ہے اور تنظیموں کو CycloneDX ڈیٹا ماڈل اور اس میں موجود تمام ڈیٹا کو کاٹنے اور کاٹنے کی اجازت دیتی ہے۔" "اگر آپ مواد کے بل کے کچھ پہلوؤں کی پرواہ کرتے ہیں، تو آپ جلدی سے اس سے استفسار کر سکتے ہیں، جو کہ لاجواب ہے۔ اور پھر آپ تنظیموں کو ڈیٹا کی ان اقسام کی بنیاد پر پالیسی بنانا شروع کرنے کی اجازت دے سکتے ہیں جو مواد کے اس بل میں موجود ہو یا نہ ہو۔

جبکہ آئی بی ایم نے ابتدائی طور پر اس کے استعمال کے لیے ایس بی او ایم یوٹیلیٹی اور لائسنس سکینر بنایا، کمپنی نے یہ نہیں بتایا کہ آیا وہ تجارتی ورژن جاری کرنے کا ارادہ رکھتی ہے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا