Co je SBOM (Software Bill of Materials)?
Software Bill of Materials (SBOM) je detailní inventář komponent, které tvoří software, včetně knihoven třetích stran a open-source knihoven a verzí frameworků. Je to jako seznam ingrediencí uvnitř aplikace.
Sledováním každé komponenty uvnitř aplikace může vývojový tým rychle zjistit, kdy jsou objeveny nové zranitelnosti.
Proč je SBOM důležitý v kybernetické bezpečnosti
Moderní aplikace jsou postaveny kombinací stovek nebo tisíců závislostí třetích stran a open-source knihoven, aby urychlily vývoj. Pokud má jedna z nich zranitelnosti, ohrozí to celou aplikaci.
SBOM pomáhá vývojářskému týmu:
- Identifikovat zranitelnosti dříve mapováním postižených komponent
- Zlepšit shodu se standardy jako NIST, ISO nebo Výkonný příkaz 14028 v USA
- Zlepšit bezpečnost dodavatelského řetězce zajištěním transparentnosti ve složení softwaru
- Budovat důvěru se zákazníky a partnery tím, že ukazuje, jaké komponenty jsou zahrnuty
Klíčové prvky SBOM
Správný SBOM obvykle zahrnuje:
- Název komponenty (např.
lodash) - Verzi (např. 4.17.21)
- Informace o licenci (open source nebo proprietární)
- Dodavatele (projekt nebo dodavatel, který ji udržuje)
- Vztahy (jak komponenty závisí na sobě navzájem)
Příklad v praxi: Porušení Apache Struts (Equifax, 2017)
V roce 2017 útočník zneužil kritickou zranitelnost v rámci Apache Struts (CVE-2017-5638), která byla použita v webových aplikacích společnosti Equifax (americká nadnárodní agentura pro spotřebitelské úvěrové zprávy). Oprava této zranitelnosti byla k dispozici, ale Equifax ji nedokázal včas aplikovat.
Protože chyběla viditelnost všech závislostí a knihoven uvnitř jejich aplikace, zůstala chyba v knihovně Struts bez povšimnutí, což vedlo k jednomu z největších úniků dat v historii, kdy bylo odhaleno více než 147 milionů osobních údajů.
Kdyby byl zaveden SBOM, Equifax by mohl rychle:
- Identifikovat, že jejich aplikace používají zranitelnou verzi Apache Struts
- Prioritizovat aplikaci opravy, jakmile byla zranitelnost zveřejněna
- Zkrátit dobu, kterou útočníci měli na zneužití slabiny
Tento případ nám ukazuje, jakou kritickou roli hraje SBOM při zajištění bezpečnosti softwarových komponent, pomáhající organizacím rychleji reagovat na nově zveřejněné zranitelnosti.