Trong bản phát hành này
- Cải tiến cho thư viện C/C++
- Sử dụng thông tin PE để phát hiện thư viện DLL/EXE
- Thêm nhiều chữ ký hơn cho các thư viện C/C++
- Hỗ trợ xử lý định dạng tệp CycloneDX
Trong những cải tiến mới nhất của chúng tôi dành cho SBOM ( Software Với công nghệ Bill of Materials (Biểu kê vật liệu) phiên bản 4.0.0, chúng tôi mở rộng phạm vi cơ sở dữ liệu của mình cho các thành phần nhị phân như tệp DLL và EXE, cải thiện khả năng nhận dạng nhị phân thông qua siêu dữ liệu PE (Tệp thực thi di động) và cho phép xác thực và làm giàu cho báo cáo CycloneDX SBOM.
Điểm mù nhị phân
Các giải pháp SBOM truyền thống chủ yếu dựa vào trình quản lý gói và tệp manifest (ví dụ: requirements.txt, package.json) để xác định các thành phần của bên thứ ba. Mặc dù hiệu quả đối với nhiều ứng dụng hiện đại, cách tiếp cận này để lại những điểm mù đáng kể, đặc biệt là trong các tình huống như:
- Các dự án không sử dụng trình quản lý gói nhất quán: Các dự án C/C++ kết hợp các thư viện DLL không được trình quản lý gói theo dõi có thể không hiển thị với các công cụ tạo SBOM.
- Trình cài đặt Software có chứa các tệp nhị phân của bên thứ ba được nhúng: Trình cài đặt thường chứa các tệp nhị phân của bên thứ ba mà không có siêu dữ liệu rõ ràng, khiến chúng khó theo dõi.
- Thư viện định dạng nhị phân trong kho lưu trữ hiện vật: Các kho lưu trữ hiện vật như JFrog Artifactory, Nexus Repository hoặc Apache Archiva lưu trữ thư viện ở định dạng nhị phân (whl, egg, zip) thay vì mã nguồn. Các gói nhị phân này cũng thiếu khai báo, điều này cũng hạn chế khả năng hiển thị SBOM truyền thống.
Những lỗ hổng này tạo ra rủi ro bảo mật – các phụ thuộc nhị phân vẫn vô hình, các gói cài đặt không được kiểm tra và các lỗ hổng trong các phụ thuộc chưa được khai báo không thể được theo dõi.
Đóng khoảng cách bảo mật nhị phân SBOM
Để giải quyết những điểm mù quan trọng này, OPSWAT SBOM 4.0.0 cung cấp các khả năng nâng cao thông qua nhiều phương pháp bổ sung:
Mở rộng phạm vi cơ sở dữ liệu cho các thành phần nhị phân
Chúng tôi đã mở rộng đáng kể cơ sở dữ liệu chữ ký cho các tệp nhị phân C, C++ và C# (DLL, EXE). Software nhóm phát triển có thể xác định các thư viện của bên thứ ba được nhúng ngay cả khi siêu dữ liệu của trình quản lý gói không khả dụng.
Với bản cập nhật này, OPSWAT SBOM đảm bảo theo dõi thành phần toàn diện trên toàn bộ mã nguồn, tệp nhị phân đã biên dịch và trình cài đặt phần mềm.
Nhận dạng thư viện chính xác với phân tích siêu dữ liệu
Phiên bản mới của chúng tôi tận dụng phân tích siêu dữ liệu PE (Portable Executable) để xác định các tệp nhị phân và khớp chúng với các lỗ hổng đã biết và cơ sở dữ liệu cấp phép. Phương pháp tự động này thay thế quy trình thủ công, tốn thời gian và dễ xảy ra lỗi trước đây.
Cách thức hoạt động:
- OPSWAT SBOM phát hiện các thư viện của bên thứ ba ở dạng nhị phân (DLL, EXE) bằng cách sử dụng chữ ký và siêu dữ liệu PE (tệp thực thi di động) của chúng.
- Thông tin nhị phân được trích xuất được ánh xạ tới các thư viện và phiên bản đã biết
- Những phát hiện này sau đó được đối chiếu với cơ sở dữ liệu về lỗ hổng và giấy phép của chúng tôi.
Lợi ích:
- Xác định các thành phần của bên thứ ba, bao gồm các thư viện C/C++ được quản lý thủ công và các gói cài đặt
- Cải thiện độ chính xác trong việc xác định các thành phần nhị phân bằng cách sử dụng phân tích siêu dữ liệu
- Giảm thiểu rủi ro bảo mật bằng cách phát hiện các phụ thuộc ngay cả khi không có khai báo trình quản lý gói
- Cho phép quản lý lỗ hổng toàn diện và đánh giá bảo mật
Nhận dạng thư viện chính xác với phân tích siêu dữ liệu
Tích hợp SBOM với Kho lưu trữ hiện vật
Ngoài việc quét trực tiếp các thư viện nhị phân, OPSWAT SBOM và MetaDefender Software Supply Chain hỗ trợ tích hợp gốc với kho lưu trữ hiện vật như JFrog Artifactory để quét các gói gốc và truy xuất siêu dữ liệu của chúng. Tìm hiểu thêm về tích hợp JFrog Artifactory .
Việc tham chiếu chéo này cho phép xác định chính xác các thư viện của bên thứ ba được nhúng và đảm bảo các nhóm sẽ không bỏ sót thông tin bảo mật quan trọng trong các thành phần nhị phân của dự án.
Xác thực và làm giàu báo cáo CycloneDX SBOM
Một bản cập nhật khác trong bản phát hành này tập trung vào tính chính xác và đầy đủ của các báo cáo SBOM – đặc biệt là các báo cáo theo định dạng CycloneDX.
CycloneDX là định dạng SBOM được sử dụng rộng rãi để theo dõi bảo mật và lỗ hổng. Tuy nhiên, một số báo cáo này thường thiếu thông tin chi tiết như dữ liệu cấp phép hoặc các phụ thuộc chưa được khai báo.
Tại OPSWAT Chúng tôi tin tưởng vào triết lý phòng thủ đa lớp. Cũng giống như các chiến lược bảo mật nhiều lớp cải thiện khả năng phát hiện phần mềm độc hại, xác thực SBOM đa lớp cũng tăng cường bảo mật chuỗi cung ứng phần mềm . Cải tiến này xác thực và làm phong phú thêm các báo cáo SBOM của CycloneDX để tạo ra các kho thành phần hoàn chỉnh hơn.
Cách thức hoạt động:
Nhập SBOM hiện có
Người dùng cung cấp báo cáo SBOM theo định dạng CycloneDX làm cơ sở để phân tích và xác thực.
Xác thực và làm giàu
OPSWAT quét lại SBOM, xác thực các thành phần được liệt kê với cơ sở dữ liệu của chúng tôi và bổ sung các chi tiết còn thiếu, bao gồm:
- Thông tin chi tiết về lỗ hổng (phát hiện CVE và đánh giá mức độ nghiêm trọng)
- Dữ liệu cấp phép
- Theo dõi phiên bản (phiên bản lỗi thời và bản vá lỗi)
Ngoài ra, các tệp có CVE đã biết hoặc giấy phép chưa được chấp thuận sẽ bị gắn cờ hoặc chặn dựa trên các chính sách được cấu hình trước.
Tạo và Xuất SBOM Nâng cao
SBOM được cập nhật bao gồm thông tin chi tiết về bảo mật bổ sung. Xuất các phát hiện được làm giàu ở định dạng JSON, CycloneDX hoặc SPDX SBOM.
Tại sao phát hiện nhị phân lại quan trọng
Toàn diện Vulnerability Management
Khi các CVE mới được công bố, các nhóm bảo mật có thể ngay lập tức đánh giá xem chúng có bị ảnh hưởng hay không, ngay cả đối với các thành phần ở dạng nhị phân. Điều này loại bỏ các điểm mù bảo mật trong quy trình ứng phó với lỗ hổng.
Tuân thủ và Sẵn sàng theo Quy định
Các tổ chức phải đối mặt với các yêu cầu pháp lý ngày càng tăng hoặc nhu cầu của khách hàng đối với SBOM có thể đảm bảo tất cả các thành phần đều được tính đến, không chỉ những thành phần được quản lý thông qua trình quản lý gói.
Đánh giá bảo mật cho các gói cài đặt
Software Các gói phân phối thường chứa nhiều thành phần của bên thứ ba. Phát hiện nhị phân mở rộng khả năng hiển thị vào trình cài đặt và đảm bảo rằng tất cả các phụ thuộc đến tay khách hàng đều được kiểm kê và kiểm tra bảo mật.
Hỗ trợ cơ sở mã di sản
Các ứng dụng cũ thiếu quản lý phụ thuộc hiện đại giờ đây có thể được đưa vào các chương trình bảo mật chuỗi cung ứng phần mềm mà không cần theo dõi thủ công hoặc làm lại nhiều.
Về OPSWAT SBOM
OPSWAT SBOM cho phép tính minh bạch của phần mềm bằng cách cung cấp một bản kiểm kê chính xác các thành phần phần mềm trong ngăn xếp ứng dụng phần mềm của họ. Với OPSWAT SBOM, các nhà phát triển có thể xác định các lỗ hổng đã biết, xác thực giấy phép và tạo kho thành phần cho OSS (phần mềm nguồn mở), các phụ thuộc của bên thứ ba và hình ảnh container. Software nhóm phát triển có thể tuân thủ và đi trước kẻ tấn công mà không ảnh hưởng đến tốc độ phát triển.
Tìm hiểu thêm về cách SBOM giúp bảo mật ứng dụng của bạn tại https://www. opswat .com/technologies/sbom .
