logo

Command Palette

Search for a command to run...
Slovník SBOM

Co je SBOM (Software Bill of Materials)?

Software Bill of Materials (SBOM) je detailní inventář komponent, které tvoří software, včetně knihoven třetích stran a open-source knihoven a verzí frameworků. Je to jako seznam ingrediencí uvnitř aplikace.

Sledováním každé komponenty uvnitř aplikace může vývojový tým rychle zjistit, kdy se objeví nové zranitelnosti.

Proč je SBOM důležitý v kybernetické bezpečnosti

Moderní aplikace jsou vytvářeny kombinací stovek nebo tisíců závislostí třetích stran a open-source knihoven, aby se urychlil vývoj. Pokud jedna z těchto komponent má zranitelnosti, ohrožuje to celou aplikaci.

SBOM pomáhá vývojovému týmu:

  • Identifikovat zranitelnosti dříve mapováním postižených komponent
  • Zlepšit shodu se standardy jako NIST, ISO nebo Executive Order 14028 v USA
  • Zlepšit bezpečnost dodavatelského řetězce zajištěním transparentnosti v složení softwaru
  • Budovat důvěru se zákazníky a partnery tím, že ukáže, jaké komponenty jsou zahrnuty

Klíčové prvky SBOM

Správný SBOM obvykle zahrnuje:

  • Název komponenty (např. lodash)
  • Verze (např. 4.17.21)
  • Informace o licenci (open source nebo proprietární)
  • Dodavatel (projekt nebo dodavatel, který ji udržuje)
  • Vztahy (jak komponenty závisí na sobě navzájem)

Příklad v praxi: Únik dat Apache Struts (Equifax, 2017)

V roce 2017 útočník využil kritickou zranitelnost v rámci Apache Struts (CVE-2017-5638), který byl použit v webových aplikacích společnosti Equifax (americká nadnárodní agentura pro zpravodajství o spotřebitelských úvěrech). Oprava této zranitelnosti byla k dispozici, ale Equifax ji včas neaplikoval.

Kvůli nedostatečné viditelnosti všech závislostí a knihoven uvnitř jejich aplikace zůstala chyba v knihovně Struts bez povšimnutí, což vedlo k jednomu z největších úniků dat v historii, kdy bylo odhaleno více než 147 milionů osobních údajů.

Pokud by byl SBOM zaveden, Equifax by mohl rychle:

  • Identifikovat, že jejich aplikace používají zranitelnou verzi Apache Struts
  • Prioritizovat aplikaci opravy, jakmile byla zranitelnost zveřejněna
  • Snížit dobu, kterou útočníci měli k využití slabiny

Tento případ nám ukazuje, jakou kritickou roli má SBOM při udržování bezpečnosti softwarových komponent, což pomáhá organizacím rychleji reagovat na nově zveřejněné zranitelnosti.

Související termíny

Další kroky

Připraveni zabezpečit vaše aplikace? Vyberte si svou cestu vpřed.

Začít bezplatnou zkušební verzi

Vyzkoušejte Plexicus bez rizika po dobu 14 dnů

Zobrazit ceny

Transparentní ceny pro týmy všech velikostí

Připojte se ke komunitě

Připojte se k naší globální komunitě

Přečtěte si dokumentaci

Přečtěte si naši komplexní dokumentaci

Připojte se k více než 500 společnostem, které již zabezpečují své aplikace s Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready