logo
Sözlük SBOM

SBOM (Yazılım Malzeme Listesi) Nedir?

Bir Yazılım Malzeme Listesi (SBOM), bir yazılımı oluşturan bileşenlerin, üçüncü taraf ve açık kaynak kütüphaneler ve çerçeve sürümleri dahil olmak üzere, ayrıntılı envanteridir. Uygulamanın içindeki malzemelerin listesi gibidir.

Uygulama içindeki her bileşeni takip ederek, geliştirme ekibi yeni güvenlik açıkları keşfedildiğinde hızlıca tespit edebilir.

Siber Güvenlikte SBOM’un Önemi

Modern uygulamalar, geliştirmeyi hızlandırmak için yüzlerce veya binlerce üçüncü taraf bağımlılık ve açık kaynak kütüphaneler birleştirilerek inşa edilir. Bunlardan biri güvenlik açığına sahipse, tüm uygulamayı riske atar.

Bir SBOM, geliştirici ekibine şunları yapmada yardımcı olur:

  • Etkilenen bileşeni haritalayarak güvenlik açıklarını daha erken tespit etme
  • ABD’deki NIST, ISO veya Yürütme Emri 14028 gibi standartlarla uyumluluğu artırma
  • Yazılım bileşimi şeffaflığını sağlayarak tedarik zinciri güvenliğini artırma
  • İçerilen bileşenleri göstererek müşteriler ve ortaklarla güven inşa etme

Bir SBOM’un Ana Unsurları

Uygun bir SBOM genellikle şunları içerir:

  • Bileşen adı (örneğin, lodash)
  • Sürüm (örneğin, 4.17.21)
  • Lisans bilgileri (açık kaynak veya tescilli)
  • Tedarikçi (onu sürdüren proje veya satıcı)
  • İlişkiler (bileşenlerin birbirine nasıl bağımlı olduğu)

Uygulamada Örnek: Apache Struts İhlali (Equifax, 2017)

2017 yılında saldırganlar, Equifax’ın (Amerikan çok uluslu tüketici kredi raporlama ajansı) web uygulamalarında kullanılan Apache Struts çerçevesindeki kritik bir güvenlik açığını (CVE-2017-5638) istismar ettiler. Bu güvenlik açığının yaması mevcuttu, ancak Equifax bunu zamanında uygulayamadı.

Uygulamalarındaki tüm bağımlılıklar ve kütüphaneler hakkında yeterli görünürlüğe sahip olmadıkları için, Struts kütüphanesindeki hata fark edilmedi ve bu, tarihin en büyük veri ihlallerinden birine yol açtı; 147 milyondan fazla kişisel veri ifşa edildi.

Eğer bir SBOM mevcut olsaydı, Equifax hızla:

  • Uygulamalarının savunmasız Apache Struts sürümünü kullandığını tespit edebilirdi
  • Güvenlik açığı açıklandığında yamayı önceliklendirebilirdi
  • Saldırganların zayıflığı istismar etme süresini azaltabilirdi

Bu vaka, bir SBOM’un yazılım bileşenlerini güvende tutmada kritik bir rol oynadığını ve organizasyonların yeni açıklanan güvenlik açıklarına daha hızlı yanıt vermesine yardımcı olduğunu gösteriyor.

İlgili Terimler

Sonraki Adımlar

Uygulamalarınızı güvence altına almaya hazır mısınız? İleriye doğru yolunuzu seçin.

Ücretsiz Deneme Başlat

Plexicus'u 14 gün boyunca risksiz deneyin

Fiyatlandırmayı Görüntüle

Her büyüklükteki ekip için şeffaf fiyatlandırma

Topluluğa Katıl

Küresel Topluluğumuza Katılın

Belgeleri Oku

Kapsamlı Belgelerimizi Okuyun

Uygulamalarını Plexicus ile güvence altına alan 500+ şirkete katılın

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready