Hva er SBOM (Software Bill of Materials)?

En Software Bill of Materials (SBOM) er en detaljert oversikt over komponentene som utgjør en programvare, inkludert tredjeparts- og åpen kildekode-biblioteker, og rammeverkversjoner. Det er som en ingrediensliste inne i applikasjonen.

Ved å holde oversikt over hver komponent inne i applikasjonen, kan utviklingsteamet raskt oppdage når nye sårbarheter blir oppdaget.

Hvorfor SBOM er viktig i cybersikkerhet

Moderne applikasjoner bygges ved å kombinere hundrevis eller tusenvis av tredjepartsavhengigheter og åpen kildekode-biblioteker for å akselerere utviklingen. Hvis en av disse har sårbarheter, vil det sette hele applikasjonen i fare.

En SBOM hjelper utviklingsteamet med å:

• Identifisere sårbarheter tidligere ved å kartlegge berørte komponenter
• Forbedre samsvar med standarder som NIST, ISO, eller Executive Order 14028 i USA
• Forbedre forsyningskjede-sikkerheten ved å sikre transparens i programvaresammensetningen
• Bygge tillit med kunder og partnere ved å vise hvilke komponenter som er inkludert

Nøkkelingredienser i en SBOM

En riktig SBOM inkluderer vanligvis:

• Komponentnavn (f.eks. lodash)
• Versjon (f.eks. 4.17.21)
• Lisensinformasjon (åpen kildekode eller proprietær)
• Leverandør (prosjekt eller leverandør som vedlikeholder det)
• Relasjoner (hvordan komponenter er avhengige av hverandre)

Eksempel i praksis: Apache Struts-bruddet (Equifax, 2017)

I 2017 utnyttet angripere en kritisk sårbarhet i Apache Struts-rammeverket (CVE-2017-5638), som ble brukt i Equifaxs (amerikansk multinasjonal kredittopplysningsbyrå) webapplikasjoner. En oppdatering for denne sårbarheten var tilgjengelig, men Equifax klarte ikke å anvende den i tide.

Fordi de manglet oversikt over alle avhengigheter og biblioteker inne i applikasjonen deres, gikk feilen i Struts-biblioteket ubemerket, noe som førte til et av de største datainnbruddene i historien, med mer enn 147 millioner personopplysninger eksponert.

Hvis en SBOM hadde vært på plass, kunne Equifax raskt ha:

• Identifisert at applikasjonene deres brukte den sårbare versjonen av Apache Struts
• Prioritert oppdatering så snart sårbarheten ble offentliggjort
• Redusert tiden angripere hadde til å utnytte svakheten

Denne saken viser oss hvordan en SBOM har en kritisk rolle for å holde programvarekomponenter sikre, og hjelper organisasjoner med å reagere raskere på nylig avslørte sårbarheter.

Relaterte Begreper

• SCA (Software Composition Analysis)
• Angrep på forsyningskjeden
• Åpen kildekode sikkerhet
• Sårbarhetsstyring