Cos’è un SBOM (Software Bill of Materials)?

Un Software Bill of Materials (SBOM) è un inventario dettagliato dei componenti che costituiscono un software, incluse librerie di terze parti e open-source, e la versione del framework. È come una lista di ingredienti all’interno dell’applicazione.

Tenendo traccia di ogni componente all’interno dell’applicazione, il team di sviluppo può rilevare rapidamente quando vengono scoperte nuove vulnerabilità.

Perché l’SBOM è importante nella sicurezza informatica

Le applicazioni moderne sono costruite combinando centinaia o migliaia di dipendenze di terze parti e librerie open-source per accelerare lo sviluppo. Se una di queste presenta vulnerabilità, metterà a rischio l’intera applicazione.

un SBOM aiuta il team di sviluppo a:

• Identificare le vulnerabilità in anticipo mappando i componenti interessati
• Migliorare la conformità con standard come NIST, ISO o Executive Order 14028 negli Stati Uniti
• Migliorare la sicurezza della catena di approvvigionamento garantendo trasparenza nella composizione del software
• Costruire fiducia con clienti e partner mostrando quali componenti sono inclusi

Elementi chiave di un SBOM

Un SBOM adeguato di solito include:

• Nome del componente (ad esempio, lodash)
• Versione (ad esempio, 4.17.21)
• Informazioni sulla licenza (open source o proprietaria)
• Fornitore (progetto o venditore che lo mantiene)
• Relazioni (come i componenti dipendono l’uno dall’altro)

Esempio in Pratica: La Violazione di Apache Struts (Equifax, 2017)

Nel 2017 un attaccante ha sfruttato una vulnerabilità critica nel framework Apache Struts (CVE-2017-5638), che era utilizzato nelle applicazioni web di Equifax (agenzia multinazionale americana di segnalazione del credito al consumo). La patch per questa vulnerabilità era disponibile, ma Equifax non è riuscita ad applicarla in tempo.

A causa della mancanza di visibilità su tutte le dipendenze e le librerie all’interno della loro applicazione, il difetto nella libreria Struts è passato inosservato, portando a una delle più grandi violazioni di dati nella storia, con oltre 147 milioni di dati personali esposti.

Se fosse stato in atto un SBOM, Equifax avrebbe potuto rapidamente:

• Identificare che le loro applicazioni stavano utilizzando la versione vulnerabile di Apache Struts
• Dare priorità all’applicazione della patch non appena la vulnerabilità è stata divulgata
• Ridurre il tempo a disposizione degli attaccanti per sfruttare la debolezza

Questo caso ci fa capire quanto un SBOM abbia un ruolo critico nel mantenere sicuri i componenti software, aiutando l’organizzazione ad agire più rapidamente di fronte a nuove vulnerabilità divulgate.

Termini Correlati

• SCA (Analisi della Composizione del Software)
• Attacco alla Catena di Fornitura
• Sicurezza Open Source
• Gestione delle Vulnerabilità