SBOM (Yazılım Malzeme Listesi) Nedir?

Bir Yazılım Malzeme Listesi (SBOM), bir yazılımı oluşturan bileşenlerin, üçüncü taraf ve açık kaynak kütüphaneler ve çerçeve sürümleri dahil olmak üzere, ayrıntılı envanteridir. Uygulamanın içindeki malzeme listesi gibidir.

Uygulama içindeki her bileşeni takip ederek, geliştirme ekibi yeni güvenlik açıkları keşfedildiğinde hızlıca tespit edebilir.

Siber Güvenlikte SBOM’un Önemi

Modern uygulamalar, geliştirmeyi hızlandırmak için yüzlerce veya binlerce üçüncü taraf bağımlılık ve açık kaynak kütüphaneler birleştirilerek inşa edilir. Bunlardan birinde güvenlik açığı varsa, tüm uygulamayı riske atar.

Bir SBOM, geliştirici ekibine şu konularda yardımcı olur:

• Etkilenen bileşeni haritalayarak güvenlik açıklarını daha erken tespit etme
• ABD’deki NIST, ISO veya Yürütme Emri 14028 gibi standartlarla uyumluluğu artırma
• Yazılım bileşimi şeffaflığını sağlayarak tedarik zinciri güvenliğini artırma
• Dahil edilen bileşenleri göstererek müşteriler ve ortaklarla güven inşa etme

Bir SBOM’un Temel Unsurları

Uygun bir SBOM genellikle şunları içerir:

• Bileşen adı (örneğin, lodash)
• Sürüm (örneğin, 4.17.21)
• Lisans bilgisi (açık kaynak veya tescilli)
• Tedarikçi (proje veya onu sürdüren satıcı)
• İlişkiler (bileşenlerin birbirine nasıl bağımlı olduğu)

Uygulamada Örnek: Apache Struts İhlali (Equifax, 2017)

2017 yılında saldırganlar, Equifax’ın (Amerikan çok uluslu tüketici kredi raporlama ajansı) web uygulamalarında kullanılan Apache Struts çerçevesindeki kritik bir güvenlik açığını (CVE-2017-5638) istismar etti. Bu güvenlik açığının yaması mevcuttu, ancak Equifax zamanında uygulayamadı.

Uygulamalarındaki tüm bağımlılıklar ve kütüphaneler üzerinde yeterli görünürlüğe sahip olmadıkları için, Struts kütüphanesindeki hata fark edilmedi ve tarihteki en büyük veri ihlallerinden birine yol açtı, 147 milyondan fazla kişisel veri açığa çıktı.

Bir SBOM mevcut olsaydı, Equifax hızla:

• Uygulamalarının savunmasız Apache Struts sürümünü kullandığını tespit edebilirdi
• Güvenlik açığı açıklandığında yama yapmayı önceliklendirebilirdi
• Saldırganların zayıflığı istismar etme süresini azaltabilirdi

Bu durum, bir SBOM’un yazılım bileşenlerini güvende tutmada kritik bir rol oynadığını ve organizasyonların yeni açıklanan güvenlik açıklarına daha hızlı tepki vermesine yardımcı olduğunu anlamamızı sağlar.

İlgili Terimler

• SCA (Yazılım Bileşimi Analizi)
• Tedarik Zinciri Saldırısı
• Açık Kaynak Güvenliği
• Güvenlik Açığı Yönetimi