logo
Glossario SBOM

Cos’è SBOM (Software Bill of Materials)?

Un Software Bill of Materials (SBOM) è un inventario dettagliato dei componenti che costituiscono un software, inclusi librerie di terze parti e open-source, e versioni dei framework. È come una lista di ingredienti all’interno dell’applicazione.

Tenendo traccia di ogni componente all’interno dell’applicazione, il team di sviluppo può rilevare rapidamente quando vengono scoperte nuove vulnerabilità.

Perché SBOM è importante nella cybersecurity

Le applicazioni moderne sono costruite combinando centinaia o migliaia di dipendenze di terze parti e librerie open-source per accelerare lo sviluppo. Se una di queste ha vulnerabilità, metterà a rischio l’intera applicazione.

un SBOM aiuta il team di sviluppo a:

  • Identificare le vulnerabilità in anticipo mappando i componenti interessati
  • Migliorare la conformità con standard come NIST, ISO o Executive Order 14028 negli Stati Uniti
  • Migliorare la sicurezza della catena di approvvigionamento garantendo trasparenza nella composizione del software
  • Costruire fiducia con clienti e partner mostrando quali componenti sono inclusi

Elementi chiave di un SBOM

Un SBOM adeguato solitamente include:

  • Nome del componente (es. lodash)
  • Versione (es. 4.17.21)
  • Informazioni sulla licenza (open source o proprietaria)
  • Fornitore (progetto o venditore che lo mantiene)
  • Relazioni (come i componenti dipendono l’uno dall’altro)

Esempio pratico: La violazione di Apache Struts (Equifax, 2017)

Nel 2017, un attaccante ha sfruttato una vulnerabilità critica nel framework Apache Struts (CVE-2017-5638), utilizzato nelle applicazioni web di Equifax (agenzia multinazionale americana di segnalazione del credito al consumo). La patch per questa vulnerabilità era disponibile, ma Equifax non è riuscita ad applicarla in tempo.

A causa della mancanza di visibilità su tutte le dipendenze e le librerie all’interno della loro applicazione, il difetto nella libreria Struts è passato inosservato, portando a una delle più grandi violazioni dei dati nella storia, con oltre 147 milioni di dati personali esposti.

Se fosse stato in uso un SBOM, Equifax avrebbe potuto rapidamente:

  • Identificare che le loro applicazioni stavano utilizzando la versione vulnerabile di Apache Struts
  • Dare priorità all’applicazione della patch non appena la vulnerabilità è stata divulgata
  • Ridurre il tempo a disposizione degli attaccanti per sfruttare la debolezza

Questo caso ci fa capire quanto un SBOM abbia un ruolo critico nel mantenere sicuri i componenti software, aiutando le organizzazioni ad agire più rapidamente alle vulnerabilità appena divulgate.

Termini Correlati

Prossimi Passi

Pronto a proteggere le tue applicazioni? Scegli il tuo percorso.

Inizia la Prova Gratuita

Prova Plexicus senza rischi per 14 giorni

Visualizza Prezzi

Prezzi trasparenti per team di tutte le dimensioni

Join Community

Unisciti alla nostra comunità globale

Read Documentation

Leggi la nostra documentazione completa

Unisciti a oltre 500 aziende che già proteggono le loro applicazioni con Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready