Co je SBOM (Software Bill of Materials)?
Software Bill of Materials (SBOM) je detailní inventář komponent, které tvoří software, včetně knihoven třetích stran a open-source knihoven a verzí frameworku. Je to jako seznam ingrediencí uvnitř aplikace.
Sledováním každé komponenty uvnitř aplikace může vývojový tým rychle zjistit, kdy jsou objeveny nové zranitelnosti.
Proč SBOM má význam v kybernetické bezpečnosti
Moderní aplikace jsou postaveny kombinací stovek nebo tisíců závislostí třetích stran a open-source knihoven, aby se urychlil vývoj. Pokud jedna z nich má zranitelnosti, ohrozí to celou aplikaci.
SBOM pomáhá vývojovému týmu:
- Identifikovat zranitelnosti dříve mapováním postižených komponent
- Zlepšit shodu se standardy jako NIST, ISO nebo Výkonný příkaz 14028 v USA
- Zlepšit bezpečnost dodavatelského řetězce tím, že zajistí transparentnost v složení softwaru
- Budovat důvěru se zákazníky a partnery tím, že ukáže, jaké komponenty jsou zahrnuty
Klíčové prvky SBOM
Správný SBOM obvykle zahrnuje:
- Název komponenty (např.
lodash) - Verzi (např. 4.17.21)
- Informace o licenci (open source nebo proprietární)
- Dodavatele (projekt nebo dodavatel, který ji udržuje)
- Vztahy (jak komponenty závisí na sobě navzájem)
Příklad v praxi: Porušení Apache Struts (Equifax, 2017)
V roce 2017 útočník využil kritickou zranitelnost v rámci Apache Struts (CVE-2017-5638), která byla použita v webových aplikacích společnosti Equifax (americká nadnárodní agentura pro zpravodajství o spotřebitelských úvěrech). Oprava této zranitelnosti byla dostupná, ale Equifax ji nedokázal včas aplikovat.
Kvůli nedostatku viditelnosti všech závislostí a knihoven uvnitř jejich aplikace zůstala chyba v knihovně Struts nepovšimnuta, což vedlo k jednomu z největších úniků dat v historii, kdy bylo odhaleno více než 147 milionů osobních údajů.
Pokud by byl zaveden SBOM, Equifax by mohl rychle:
- Identifikovat, že jejich aplikace používají zranitelnou verzi Apache Struts
- Prioritizovat aplikaci opravy ihned po zveřejnění zranitelnosti
- Snížit čas, který útočníci měli k využití slabiny
Tento případ nám ukazuje, jakou kritickou roli má SBOM při udržování bezpečnosti softwarových komponent, pomáhá organizacím rychleji reagovat na nově zveřejněné zranitelnosti