logo
مسرد المصطلحات SBOM

ما هو SBOM (قائمة مكونات البرمجيات)؟

قائمة مكونات البرمجيات (SBOM) هي جرد تفصيلي للمكونات التي تشكل البرمجيات، بما في ذلك المكتبات الخارجية والمفتوحة المصدر، وإصدارات الأطر. إنها مثل قائمة المكونات داخل التطبيق.

من خلال تتبع كل مكون داخل التطبيق، يمكن لفريق التطوير اكتشاف الثغرات الجديدة بسرعة عند اكتشافها.

لماذا يهم SBOM في الأمن السيبراني

تُبنى التطبيقات الحديثة عن طريق دمج مئات أو آلاف من التبعيات الخارجية والمكتبات المفتوحة المصدر لتسريع التطوير. إذا كان أحد هذه المكونات يحتوي على ثغرات، فإنه يضع التطبيق بأكمله في خطر.

يساعد SBOM فريق المطورين على:

  • تحديد الثغرات مبكرًا عن طريق رسم خريطة للمكونات المتأثرة
  • تحسين الامتثال للمعايير مثل NIST، ISO، أو الأمر التنفيذي 14028 في الولايات المتحدة
  • تعزيز أمن سلسلة التوريد من خلال ضمان الشفافية في تكوين البرمجيات
  • بناء الثقة مع العملاء والشركاء من خلال إظهار ما هي المكونات المدرجة

العناصر الرئيسية لـ SBOM

عادةً ما تتضمن SBOM المناسبة:

  • اسم المكون (مثل lodash)
  • الإصدار (مثل 4.17.21)
  • معلومات الترخيص (مفتوح المصدر أو مملوك)
  • المورد (المشروع أو البائع الذي يحافظ عليه)
  • العلاقات (كيف تعتمد المكونات على بعضها البعض)

مثال عملي: اختراق Apache Struts (Equifax، 2017)

في عام 2017، استغل مهاجم ثغرة حرجة في إطار عمل Apache Struts (CVE-2017-5638)، والذي كان يُستخدم في تطبيقات الويب الخاصة بشركة Equifax (وكالة أمريكية متعددة الجنسيات لتقارير الائتمان الاستهلاكية). كان التصحيح لهذه الثغرة متاحًا، لكن Equifax فشلت في تطبيقه في الوقت المناسب.

بسبب نقص الرؤية في جميع التبعيات والمكتبات داخل تطبيقاتهم، لم يتم ملاحظة الخلل في مكتبة Struts، مما أدى إلى واحدة من أكبر عمليات اختراق البيانات في التاريخ، حيث تم كشف أكثر من 147 مليون من البيانات الشخصية.

لو كان هناك SBOM في مكانه، لكان بإمكان Equifax بسرعة:

  • تحديد أن تطبيقاتهم كانت تستخدم النسخة الضعيفة من Apache Struts
  • إعطاء الأولوية للتصحيح بمجرد الكشف عن الثغرة
  • تقليل الوقت الذي كان لدى المهاجمين لاستغلال الضعف

توضح هذه الحالة كيف أن SBOM يلعب دورًا حيويًا في الحفاظ على أمان مكونات البرمجيات، مما يساعد المؤسسات على التصرف بسرعة تجاه الثغرات المكتشفة حديثًا.

المصطلحات ذات الصلة

الخطوات التالية

جاهز لتأمين تطبيقاتك؟ اختر طريقك إلى الأمام.

ابدأ التجربة المجانية

جرب Plexicus بدون مخاطر لمدة 14 يومًا

عرض الأسعار

تسعير شفاف للفرق من جميع الأحجام

انضم إلى المجتمع

انضم إلى مجتمعنا العالمي

اقرأ الوثائق

اقرأ وثائقنا الشاملة

انضم إلى أكثر من 500 شركة تؤمن تطبيقاتها بالفعل مع Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready