ما هو SBOM (قائمة مواد البرمجيات)؟
قائمة مواد البرمجيات (SBOM) هي جرد تفصيلي للمكونات التي تشكل البرمجيات، بما في ذلك المكتبات الخارجية والمفتوحة المصدر وإصدارات الأطر. إنها مثل قائمة المكونات داخل التطبيق.
من خلال تتبع كل مكون داخل التطبيق، يمكن لفريق التطوير اكتشاف الثغرات الجديدة بسرعة عند اكتشافها.
لماذا تهم SBOM في الأمن السيبراني
يتم بناء التطبيقات الحديثة عن طريق دمج مئات أو آلاف التبعيات الخارجية والمكتبات المفتوحة المصدر لتسريع التطوير. إذا كان أحد هذه المكونات يحتوي على ثغرات، فإنه سيعرض التطبيق بأكمله للخطر.
تساعد SBOM فريق المطورين على:
- تحديد الثغرات في وقت مبكر عن طريق رسم خريطة للمكونات المتأثرة
- تحسين الامتثال للمعايير مثل NIST وISO أو الأمر التنفيذي 14028 في الولايات المتحدة
- تعزيز أمان سلسلة التوريد من خلال ضمان الشفافية في تكوين البرمجيات
- بناء الثقة مع العملاء والشركاء من خلال إظهار المكونات المدرجة
العناصر الأساسية لـ SBOM
عادةً ما تتضمن SBOM المناسبة:
- اسم المكون (مثل
lodash) - الإصدار (مثل 4.17.21)
- معلومات الترخيص (مفتوح المصدر أو مملوك)
- المورد (المشروع أو البائع الذي يقوم بصيانته)
- العلاقات (كيف تعتمد المكونات على بعضها البعض)
مثال عملي: اختراق Apache Struts (إكويفاكس، 2017)
في عام 2017 استغل المهاجمون ثغرة حرجة في إطار عمل Apache Struts (CVE-2017-5638)، والذي كان مستخدمًا في تطبيقات الويب الخاصة بشركة إكويفاكس (وكالة تقارير الائتمان الاستهلاكية متعددة الجنسيات الأمريكية). كان التصحيح لهذه الثغرة متاحًا، لكن إكويفاكس فشلت في تطبيقه في الوقت المناسب.
بسبب نقص الرؤية في جميع التبعيات والمكتبات داخل تطبيقاتهم، لم يتم ملاحظة العيب في مكتبة Struts، مما أدى إلى واحدة من أكبر اختراقات البيانات في التاريخ، حيث تم الكشف عن أكثر من 147 مليون من البيانات الشخصية.
إذا كان هناك SBOM موجود، كان بإمكان إكويفاكس بسرعة:
- تحديد أن تطبيقاتهم كانت تستخدم الإصدار الضعيف من Apache Struts
- إعطاء الأولوية لتطبيق التصحيح بمجرد الكشف عن الثغرة
- تقليل الوقت الذي كان لدى المهاجمين لاستغلال الضعف
هذه الحالة تجعلنا ندرك كيف يلعب SBOM دورًا حيويًا في الحفاظ على أمان مكونات البرمجيات، مما يساعد المنظمة على التصرف بسرعة تجاه الثغرات المكتشفة حديثًا.
المصطلحات ذات الصلة
- SCA (تحليل تكوين البرمجيات)
- هجوم سلسلة التوريد
- أمان المصدر المفتوح
- إدارة الثغرات