O que é SBOM (Software Bill of Materials)?

Um Software Bill of Materials (SBOM) é um inventário detalhado dos componentes que compõem um software, incluindo bibliotecas de terceiros e de código aberto, e a versão do framework. É como uma lista de ingredientes dentro da aplicação.

Ao manter o controle de cada componente dentro da aplicação, a equipe de desenvolvimento pode rapidamente detectar quando novas vulnerabilidades são descobertas.

Por que o SBOM é importante na cibersegurança

Aplicações modernas são construídas combinando centenas ou milhares de dependências de terceiros e bibliotecas de código aberto para acelerar o desenvolvimento. Se uma delas tiver vulnerabilidades, colocará toda a aplicação em risco.

um SBOM ajuda a equipe de desenvolvedores a:

• Identificar vulnerabilidades mais cedo, mapeando o componente afetado
• Melhorar a conformidade com padrões como NIST, ISO ou Ordem Executiva 14028 nos EUA
• Aumentar a segurança da cadeia de suprimentos garantindo transparência na composição do software
• Construir confiança com clientes e parceiros mostrando quais componentes estão incluídos

Elementos chave de um SBOM

Um SBOM adequado geralmente inclui:

• Nome do componente (por exemplo, lodash)
• Versão (por exemplo, 4.17.21)
• Informações sobre a licença (código aberto ou proprietário)
• Fornecedor (projeto ou fornecedor que o mantém)
• Relações (como os componentes dependem uns dos outros)

Exemplo na Prática: A Violação do Apache Struts (Equifax, 2017)

Em 2017, um atacante explorou uma vulnerabilidade crítica no framework Apache Struts (CVE-2017-5638), que era usado nas aplicações web da Equifax (agência multinacional americana de relatórios de crédito ao consumidor). A correção para essa vulnerabilidade estava disponível, mas a Equifax não a aplicou a tempo.

Devido à falta de visibilidade de todas as dependências e bibliotecas dentro de sua aplicação, a falha na biblioteca Struts passou despercebida, levando a uma das maiores violações de dados da história, com mais de 147 milhões de dados pessoais expostos.

Se um SBOM estivesse em vigor, a Equifax poderia rapidamente:

• Identificar que suas aplicações estavam usando a versão vulnerável do Apache Struts
• Priorizar a aplicação do patch assim que a vulnerabilidade fosse divulgada
• Reduzir o tempo que os atacantes tinham para explorar a fraqueza

Este caso nos faz saber como um SBOM tem um papel crítico para manter os componentes de software seguros, ajudando a organização a agir mais rapidamente diante de vulnerabilidades recém-divulgadas.

Termos Relacionados

• SCA (Análise de Composição de Software)
• Ataque à Cadeia de Suprimentos
• Segurança de Código Aberto
• Gestão de Vulnerabilidades