Hướng dẫn CERT-In SBOM: Cách đạt được sự tuân thủ

CERT-In là cơ quan an ninh mạng quốc gia của Ấn Độ. Các hướng dẫn SBOM của CERT-In nhằm mục đích tăng cường bảo mật chuỗi cung ứng, cải thiện khả năng hiển thị các thành phần phần mềm và đảm bảo phản ứng nhanh hơn, chuẩn hóa đối với các lỗ hổng.

Việc tuân thủ áp dụng cho chính phủ, khu vực công, các dịch vụ thiết yếu và các nhà xuất khẩu phần mềm, cũng như các nhà phát triển, nhà tích hợp và nhà bán lại trong suốt vòng đời của phần mềm.

OPSWAT SBOM hỗ trợ tự động hóa và thu thập các trường dữ liệu SBOM của CERT-In, nhằm cung cấp khả năng hiển thị và minh bạch trên các lĩnh vực chính, từ chi tiết thành phần phần mềm, minh bạch & rủi ro, cấp phép & sử dụng.

• Tên thành phần: Tên của thành phần phần mềm hoặc thư viện.
• Phiên bản thành phần: Số phiên bản hoặc mã định danh của thành phần.
• Nhà cung cấp linh kiện: Thực thể cung cấp linh kiện (nhà cung cấp, bên thứ ba hoặc nguồn mở).
• Nguồn gốc thành phần: Nguồn của thành phần (độc quyền, nguồn mở hoặc bên thứ ba).
• Mã định danh duy nhất: Mã riêng biệt để theo dõi thành phần trên nhiều phiên bản và quyền sở hữu.
• Tác giả của Dữ liệu SBOM: Thực thể chịu trách nhiệm tạo mục nhập SBOM.
• Dấu thời gian: Ngày và giờ ghi lại mục SBOM.

• Phụ thuộc thành phần: Các thành phần hoặc thư viện khác mà thành phần này dựa vào.
• Lỗ hổng: Các vấn đề bảo mật đã biết liên quan đến thành phần, có mức độ nghiêm trọng và tham chiếu CVE.
• Trạng thái bản vá: Bản cập nhật hoặc bản vá hiện tại cho các lỗ hổng bảo mật.
• Tổng kiểm tra hoặc Băm: Giá trị mật mã để xác minh tính toàn vẹn của tệp.
• Thuộc tính có thể thực thi: Thành phần có thể được thực thi hay không.
• Thuộc tính lưu trữ: Liệu thành phần có được đóng gói dưới dạng tệp lưu trữ hay không.
• Ngày phát hành: Ngày đầu tiên thành phần được phát hành.

Việc đạt được sự tuân thủ CERT-In là một hành trình theo từng giai đoạn, đòi hỏi sự phối hợp giữa các nhóm phát triển, bảo mật, vận hành và tuân thủ. Mỗi bên liên quan đóng vai trò trong việc tạo, duy trì và chia sẻ SBOM tại các thời điểm khác nhau trong vòng đời phần mềm.

Bảng dưới đây, chứa nội dung và ví dụ từ Hướng dẫn kỹ thuật CERT-In, minh họa cách trách nhiệm SBOM phù hợp với các thành phần phần mềm phổ biến:

Xác định các thông lệ hiện hành về kiểm kê phần mềm, theo dõi lỗ hổng và SBOM do nhà cung cấp cung cấp. Đối chiếu những thông lệ này với các trường dữ liệu và định dạng bắt buộc của CERT-In.

Xác định rõ vai trò cho các nhóm phát triển, vận hành CNTT, mua sắm, bảo mật và tuân thủ. Quản trị đảm bảo SBOM được tạo, duy trì và chia sẻ nhất quán trên toàn doanh nghiệp.

Tự động hóa là rất quan trọng. Các công cụ phải:

• Tạo SBOM cho mỗi bản phát hành, bản vá hoặc bản cập nhật mới
• Tích hợp với các đường ống DevOps, kho lưu trữ nguồn và sổ đăng ký vùng chứa
• Đầu ra ở định dạng CycloneDX và SPDX để căn chỉnh theo quy định

Nhúng thế hệ SBOM vào mọi giai đoạn SDLC:

• Thiết kế SBOM: các thành phần được lên kế hoạch
• Nguồn SBOM: sự phụ thuộc phát triển
• Xây dựng SBOM: trong quá trình biên dịch
• Phân tích SBOM: kiểm tra sau khi xây dựng
• SBOM đã triển khai: môi trường đã cài đặt
• Runtime SBOM: giám sát các thành phần đang hoạt động

Hợp đồng mua sắm phải yêu cầu tất cả các nhà cung cấp phải giao SBOM.

Thiết lập các bản cập nhật SBOM liên tục, tích hợp với các khuyến cáo về lỗ hổng như VEX (Trao đổi khả năng khai thác lỗ hổng) và CSAF, đồng thời đảm bảo lưu trữ và chia sẻ an toàn thông qua mã hóa, HTTPS và chữ ký số.

Bạn có muốn tìm hiểu cách tận dụng SBOM cho chiến lược bảo mật của mình không?

Việc lựa chọn đúng nhà cung cấp hoặc giải pháp rất quan trọng đối với cả việc tuân thủ và hiệu quả hoạt động.

• Hỗ trợ SPDX và CycloneDX
• Tích hợp với quy trình DevOps và quy trình làm việc CI/CD
• Khả năng tạo nhiều cấp độ SBOM (thiết kế, xây dựng, triển khai, thời gian chạy)
• Báo cáo sẵn sàng kiểm tra và cơ chế chia sẻ an toàn

Việc lựa chọn đúng đối tác cũng quan trọng như việc xây dựng quy trình SBOM nội bộ. Các CIO và lãnh đạo mua sắm nên đưa tiêu chuẩn CERT-In vào danh sách kiểm tra RFP và thẩm định của mình. Những câu hỏi chính cần đặt ra bao gồm:

• Bạn có cung cấp SBOM theo định dạng được CERT-In chấp thuận (SPDX, CycloneDX) không?
• SBOM của bạn được cập nhật thường xuyên như thế nào—chỉ khi phát hành hay liên tục?
• Bạn cung cấp những tính năng tự động hóa nào cho việc tạo SBOM, xác thực và chia sẻ an toàn?
• Làm thế nào để thực thi phân phối SBOM an toàn (ví dụ: mã hóa, RBAC, chữ ký số)?
• Giải pháp của bạn có tích hợp với quy trình DevOps, cơ sở dữ liệu lỗ hổng và khuyến cáo CERT-In không?
• Bạn hỗ trợ kiểm tra tuân thủ và báo cáo theo quy định liên tục như thế nào?

Việc đặt những câu hỏi này ngay từ đầu giúp đảm bảo các nhà cung cấp không chỉ tuân thủ trên giấy tờ mà còn có khả năng duy trì các hoạt động SBOM phù hợp với các hướng dẫn liên tục thay đổi của CERT-In.

• Bắt đầu với quy trình làm việc cơ bản và mở rộng mức độ trưởng thành theo thời gian
• Yêu cầu giao hàng SBOM trong tất cả các hợp đồng mua sắm
• Áp dụng phương pháp dịch chuyển sang trái bằng cách tích hợp thế hệ SBOM sớm trong SDLC
• Đào tạo nhân viên về nhận thức SBOM và các yêu cầu quy định

Ngay cả những sáng kiến SBOM với thiện chí cũng có thể thất bại nếu các tổ chức tiếp cận chúng một cách hời hợt. CERT-In nhấn mạnh rằng SBOM phải chính xác, toàn diện và được cập nhật liên tục. Dưới đây là một số cạm bẫy phổ biến nhất và cách tránh chúng:

Duy trì kho lưu trữ SBOM đầy đủ, ghi lại các hoạt động quản trị và tuân thủ các mẫu kiểm tra CERT-In.

OPSWAT SBOM hỗ trợ các nhà phát triển bằng cách cung cấp danh mục chính xác các thành phần phần mềm trong mã nguồn và container. Luôn đi trước kẻ tấn công, phát hiện mối đe dọa và phát hiện lỗ hổng mà không ảnh hưởng đến tốc độ phát triển.

Cho phép các nhóm phát triển phần mềm xác định, ưu tiên và giải quyết các lỗ hổng bảo mật và mối lo ngại về cấp phép của các phụ thuộc nguồn mở.

Cho phép các nhóm phát triển phần mềm xác định, ưu tiên và giải quyết các lỗ hổng bảo mật và mối lo ngại về cấp phép của các phụ thuộc nguồn mở.

Phân tích hình ảnh bộ chứa và tạo SBOM cho tên gói, thông tin phiên bản và các lỗ hổng tiềm ẩn.

Vượt ra ngoài phạm vi tuân thủ SBOM và giải quyết các cuộc tấn công chuỗi cung ứng phần mềm tiên tiến, đang phát triển.

OPSWAT Giải pháp MetaDefender Software Supply Chain cung cấp khả năng hiển thị mở rộng và khả năng phòng thủ mạnh mẽ trước các rủi ro trong chuỗi cung ứng. Với công nghệ phát hiện và ngăn chặn mối đe dọa zero-trust, vòng đời phát triển phần mềm (SDLC) của bạn được bảo vệ khỏi phần mềm độc hại và lỗ hổng bảo mật, tăng cường bảo mật ứng dụng và tuân thủ quy định.

Sự kết hợp của hơn 30 công cụ diệt vi-rút giúp tăng tỷ lệ phát hiện và ngăn chặn hiệu quả phần mềm độc hại lây nhiễm vào máy trạm, vùng chứa hoặc mã nguồn.

DLPTM chủ động xác định thông tin xác thực như mật khẩu, bí mật, mã thông báo, API khóa hoặc thông tin nhạy cảm khác còn sót lại trong mã nguồn.

Đánh giá và đánh giá mọi mã độc, lỗ hổng bảo mật hoặc các rủi ro tiềm ẩn khác tồn tại dưới mọi lớp của hình ảnh bộ chứa.

Cho dù nhóm của bạn sử dụng kho lưu trữ mã nguồn, sổ đăng ký container, dịch vụ nhị phân hay kết hợp nhiều công cụ, MetaDefender Software Supply Chain cung cấp tích hợp gốc với các nền tảng phổ biến để bảo mật trong suốt SDLC của bạn.

Các ngân hàng và NBFC phải điều chỉnh các hoạt động SBOM theo các quy định về an ninh mạng của RBI, với các yêu cầu kiểm tra chặt chẽ hơn đối với việc xử lý dữ liệu nhạy cảm.

Nhà cung cấp phải cung cấp SBOM như một phần của hợp đồng. Các tổ chức nên duy trì kho SBOM nội bộ và bên ngoài để đảm bảo tính minh bạch và quản lý rủi ro.