logo
Sözlük SBOM

SBOM (Yazılım Malzeme Listesi) Nedir?

Bir Yazılım Malzeme Listesi (SBOM), bir yazılımı oluşturan bileşenlerin, üçüncü taraf ve açık kaynak kütüphaneler ve çerçeve sürümleri dahil olmak üzere detaylı envanteridir. Bu, uygulamanın içindeki malzemelerin bir listesi gibidir.

Uygulama içindeki her bileşeni takip ederek, geliştirme ekibi yeni güvenlik açıkları keşfedildiğinde hızlıca tespit edebilir.

Siber Güvenlikte SBOM Neden Önemlidir

Modern uygulamalar, geliştirmeyi hızlandırmak için yüzlerce veya binlerce üçüncü taraf bağımlılık ve açık kaynak kütüphanelerle birleştirilerek inşa edilir. Bunlardan biri güvenlik açığına sahipse, tüm uygulamayı riske atar.

Bir SBOM, geliştirici ekibine şu konularda yardımcı olur:

  • Etkilenen bileşeni haritalayarak güvenlik açıklarını daha erken tespit etme
  • ABD’deki NIST, ISO veya Yürütme Emri 14028 gibi standartlarla uyumluluğu artırma
  • Yazılım bileşimi şeffaflığını sağlayarak tedarik zinciri güvenliğini artırma
  • İçerilen bileşenleri göstererek müşteriler ve ortaklarla güven inşa etme

Bir SBOM’un Anahtar Unsurları

Uygun bir SBOM genellikle şunları içerir:

  • Bileşen adı (örneğin, lodash)
  • Sürüm (örneğin, 4.17.21)
  • Lisans bilgileri (açık kaynak veya tescilli)
  • Tedarikçi (onu sürdüren proje veya satıcı)
  • İlişkiler (bileşenlerin birbirine nasıl bağımlı olduğu)

Uygulamada Örnek: Apache Struts İhlali (Equifax, 2017)

2017 yılında saldırganlar, Equifax’ın (Amerikan çok uluslu tüketici kredi raporlama ajansı) web uygulamalarında kullanılan Apache Struts çerçevesindeki kritik bir güvenlik açığını (CVE-2017-5638) istismar etti. Bu güvenlik açığının yaması mevcuttu, ancak Equifax zamanında uygulayamadı.

Uygulamalarındaki tüm bağımlılıklar ve kütüphaneler üzerinde yeterli görünürlüğe sahip olmadıkları için, Struts kütüphanesindeki hata fark edilmedi ve tarihin en büyük veri ihlallerinden birine yol açtı; 147 milyondan fazla kişisel veri açığa çıktı.

Eğer bir SBOM mevcut olsaydı, Equifax hızla:

  • Uygulamalarının savunmasız Apache Struts sürümünü kullandığını tespit edebilirdi
  • Güvenlik açığı açıklandığında yamayı önceliklendirebilirdi
  • Saldırganların zayıflığı istismar etme süresini azaltabilirdi

Bu vaka, bir SBOM’un yazılım bileşenlerini güvende tutmada ne kadar kritik bir rol oynadığını ve organizasyonların yeni açıklanan güvenlik açıklarına daha hızlı tepki vermesine nasıl yardımcı olduğunu gösteriyor.

İlgili Terimler

Sonraki Adımlar

Uygulamalarınızı güvence altına almaya hazır mısınız? İleriye doğru yolunuzu seçin.

Ücretsiz Deneme Başlat

Plexicus'u 14 gün boyunca risksiz deneyin

Fiyatlandırmayı Görüntüle

Her büyüklükteki ekipler için şeffaf fiyatlandırma

Topluluğa Katıl

Küresel Topluluğumuza Katılın

Belgeleri Oku

Kapsamlı Belgelerimizi Okuyun

Plexicus ile uygulamalarını güvence altına alan 500+ şirkete katılın

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready