Hva er SBOM (Software Bill of Materials)?
En Software Bill of Materials (SBOM) er en detaljert inventarliste over komponentene som utgjør en programvare, inkludert tredjeparts- og åpen kildekode-biblioteker, og rammeverkversjoner. Det er som en ingrediensliste inne i applikasjonen.
Ved å holde oversikt over hver komponent i applikasjonen, kan utviklingsteamet raskt oppdage når nye sårbarheter blir oppdaget.
Hvorfor SBOM er viktig i cybersikkerhet
Moderne applikasjoner bygges ved å kombinere hundrevis eller tusenvis av tredjepartsavhengigheter og åpen kildekode-biblioteker for å akselerere utviklingen. Hvis en av disse har sårbarheter, vil det sette hele applikasjonen i fare.
En SBOM hjelper utviklingsteamet med å:
- Identifisere sårbarheter tidligere ved å kartlegge berørte komponenter
- Forbedre samsvar med standarder som NIST, ISO, eller Executive Order 14028 i USA
- Forbedre forsyningskjede-sikkerhet ved å sikre åpenhet i programvaresammensetningen
- Bygge tillit med kunder og partnere ved å vise hvilke komponenter som er inkludert
Nøkkelinformasjon i en SBOM
En riktig SBOM inkluderer vanligvis:
- Komponentnavn (f.eks.,
lodash) - Versjon (f.eks., 4.17.21)
- Lisensinformasjon (åpen kildekode eller proprietær)
- Leverandør (prosjekt eller leverandør som vedlikeholder det)
- Relasjoner (hvordan komponenter avhenger av hverandre)
Eksempel i praksis: Apache Struts-bruddet (Equifax, 2017)
I 2017 utnyttet angripere en kritisk sårbarhet i Apache Struts-rammeverket (CVE-2017-5638), som ble brukt i Equifaxs (amerikansk multinasjonal forbrukerkredittopplysningsbyrå) webapplikasjoner. En oppdatering for denne sårbarheten var tilgjengelig, men Equifax klarte ikke å anvende den i tide.
Fordi de manglet oversikt over alle avhengigheter og biblioteker i applikasjonen deres, gikk feilen i Struts-biblioteket ubemerket, noe som førte til et av de største datainnbruddene i historien, med mer enn 147 millioner personopplysninger eksponert.
Hvis en SBOM hadde vært på plass, kunne Equifax raskt ha:
- Identifisert at applikasjonene deres brukte den sårbare versjonen av Apache Struts
- Prioritert oppdatering så snart sårbarheten ble avslørt
- Redusert tiden angripere hadde til å utnytte svakheten
Denne saken viser hvor kritisk en SBOM er for å holde programvarekomponenter sikre, og hjelper organisasjoner med å handle raskere ved nylig avslørte sårbarheter.