logo
مسرد SBOM

ما هو SBOM (قائمة مواد البرمجيات)؟

قائمة مواد البرمجيات (SBOM) هي جرد تفصيلي للمكونات التي تشكل البرمجيات، بما في ذلك المكتبات الخارجية والمفتوحة المصدر وإصدارات الأطر. إنها مثل قائمة المكونات داخل التطبيق.

من خلال تتبع كل مكون داخل التطبيق، يمكن لفريق التطوير اكتشاف الثغرات الجديدة بسرعة عند اكتشافها.

لماذا تهم SBOM في الأمن السيبراني

تُبنى التطبيقات الحديثة من خلال دمج مئات أو آلاف التبعيات الخارجية والمكتبات المفتوحة المصدر لتسريع التطوير. إذا كان أحد هذه المكونات يحتوي على ثغرات، فإنه سيعرض التطبيق بأكمله للخطر.

تساعد SBOM فريق المطورين على:

  • تحديد الثغرات في وقت مبكر من خلال رسم خريطة للمكونات المتأثرة
  • تحسين الامتثال للمعايير مثل NIST، ISO، أو الأمر التنفيذي 14028 في الولايات المتحدة
  • تعزيز أمان سلسلة التوريد من خلال ضمان الشفافية في تكوين البرمجيات
  • بناء الثقة مع العملاء والشركاء من خلال إظهار المكونات المدرجة

العناصر الأساسية لـ SBOM

عادةً ما تتضمن SBOM الصحيحة:

  • اسم المكون (مثل lodash)
  • الإصدار (مثل 4.17.21)
  • معلومات الترخيص (مفتوح المصدر أو مملوك)
  • المورد (المشروع أو البائع الذي يحافظ عليه)
  • العلاقات (كيف تعتمد المكونات على بعضها البعض)

مثال عملي: اختراق Apache Struts (إكويفاكس، 2017)

في عام 2017، استغل المهاجمون ثغرة أمنية حرجة في إطار عمل Apache Struts (CVE-2017-5638)، والذي كان يُستخدم في تطبيقات الويب الخاصة بشركة Equifax (وكالة تقارير ائتمان المستهلك متعددة الجنسيات الأمريكية). كان التصحيح لهذه الثغرة متاحًا، لكن Equifax فشلت في تطبيقه في الوقت المناسب.

بسبب نقص الرؤية في جميع التبعيات والمكتبات داخل تطبيقاتهم، لم يتم ملاحظة الخلل في مكتبة Struts، مما أدى إلى واحدة من أكبر عمليات اختراق البيانات في التاريخ، حيث تم الكشف عن أكثر من 147 مليون من البيانات الشخصية.

لو كان هناك SBOM موجود، لكان بإمكان Equifax بسرعة:

  • تحديد أن تطبيقاتهم كانت تستخدم النسخة الضعيفة من Apache Struts
  • إعطاء الأولوية للتصحيح بمجرد الكشف عن الثغرة
  • تقليل الوقت الذي كان لدى المهاجمين لاستغلال الضعف

تجعلنا هذه الحالة ندرك كيف أن SBOM له دور حاسم في الحفاظ على أمان مكونات البرمجيات، مما يساعد المنظمة على التصرف بسرعة أكبر تجاه الثغرات المكتشفة حديثًا.

المصطلحات ذات الصلة

الخطوات التالية

جاهز لتأمين تطبيقاتك؟ اختر طريقك إلى الأمام.

ابدأ تجربة مجانية

جرب Plexicus بدون مخاطر لمدة 14 يومًا

عرض الأسعار

تسعير شفاف للفرق من جميع الأحجام

انضم إلى المجتمع

انضم إلى مجتمعنا العالمي

اقرأ الوثائق

اقرأ وثائقنا الشاملة

انضم إلى أكثر من 500 شركة تؤمن بالفعل تطبيقاتها مع Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready