AI Hacking - Cách tin tặc sử dụng trí tuệ nhân tạo trong các cuộc tấn công mạng

Đọc ngay
Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và trong khi chúng tôi cố gắng đạt được độ chính xác, chúng có thể không phải lúc nào cũng chính xác 100%. Sự hiểu biết của bạn được đánh giá cao.
Trang chủ / Blog / Giải thích Bill of Materials (SBOM) Software (SBOM)
Bảo mật tệp tin

Software Bill of Materials (SBOM) Đã giải thích 

bằng cách OPSWAT
Chia sẻ bài viết này

Software phát triển phụ thuộc rất nhiều vào việc tận dụng các thành phần của bên thứ ba được xây dựng sẵn để hợp lý hóa các quy trình, một số trong đó là mã nguồn mở. Các thành phần này là khối xây dựng của các ứng dụng web hiện đại nhưng cũng có thể gây ra lỗ hổng, cung cấp cho tội phạm mạng các điểm xâm nhập tiềm năng vào hệ thống của bạn. 

Để có được khả năng hiển thị các thành phần và quản lý các lỗ hổng phụ thuộc bao gồm phần mềm của bạn, việc duy trì một danh sách được gọi là SBOM (hóa đơn vật liệu phần mềm) là điều cần thiết trong việc tăng cường bảo mật, quản lý rủi ro và tuân thủ ứng dụng của bạn. 

Mục lục
  1. SBOM là gì?
  2. Lợi ích của SBOM là gì?
  3. Ai cần SBOM SKOM?
  4. Các loại và định nghĩa SBOM
  5. Các yếu tố của SBOM là gì?
  6. Luôn tuân thủ và Secure trong SDLC của bạn

SBOM là gì? 

Software Bill of Materials (SBOM) là một danh mục chi tiết về tất cả các thành phần, thư viện và phụ thuộc nguồn đóng và nguồn mở được sử dụng trong một ứng dụng. Nói một cách đơn giản hơn, giống như một sản phẩm vật lý có thể đi kèm với danh sách các bộ phận và vật liệu thành phần, phần mềm cũng có các thành phần của nó. 

Các nhà phát triển và nhà cung cấp thường xây dựng phần mềm bằng cách kết hợp mã nguồn mở và mã thương mại. SBOM trình bày chi tiết các thành phần này một cách có hệ thống để đảm bảo tính minh bạch và khả năng truy xuất các thành phần mã nền tảng trong các sản phẩm phần mềm, giúp tạo điều kiện thuận lợi cho bảo mật chuỗi cung ứng và đảm bảo tuân thủ các quy định.

Lợi ích của SBOM là gì? 

Về cốt lõi, SBOM cung cấp ba lợi ích chính: 

Minh bạch 

Nó cung cấp một cái nhìn rõ ràng về thành phần của phần mềm, cho phép các bên liên quan — cho dù họ là nhà phát triển, kiểm toán viên hay người dùng cuối — hiểu các thành phần đi vào ngăn xếp phần mềm của họ.

Quản lý lỗ hổng bảo mật 

Bảo mật là một trong những mối quan tâm cấp bách nhất trong phát triển phần mềm. SBOM có thể nhanh chóng xác định chính xác các thành phần trong sản phẩm phần mềm — giúp xác định, giải quyết và khắc phục các lỗ hổng dễ dàng hơn.

Khi một tư vấn bảo mật được phát hành, nó thường chứa thông tin cập nhật về các lỗ hổng trong các thành phần phần mềm. Bằng cách tham chiếu chéo SBOM với các tư vấn bảo mật mới nhất, các tổ chức có thể nhanh chóng xác định xem các ứng dụng của họ có gặp rủi ro hay không và thực hiện các bước giảm thiểu cần thiết để đảm bảo chúng được bảo mật đúng cách.

Tích hợp vào SDLC ( Software Vòng đời phát triển)

Khi phần mềm tiến triển thông qua đường ống phát triển, nó được cập nhật liên tục, từ khái niệm hóa và thiết kế đến triển khai và bảo trì. SBOM đóng vai trò như một bản ghi động đảm bảo có một bức tranh rõ ràng về các thành phần, phụ thuộc và mối quan hệ của phần mềm ở mọi giai đoạn của SDLC.

Ai cần SBOM SKOM? 

Nói chung, người tiêu dùng phần mềm có thể là bất kỳ thực thể nào, dù là thương mại hay phi thương mại, có được các thành phần của bên thứ ba và các tiện ích phần mềm của bên thứ ba từ các nhà cung cấp. Các nhà cung cấp này trải rộng trên một phạm vi rộng: 

  • Nhà xuất bản phần mềm thương mại
  • Các nhà phát triển phần mềm theo hợp đồng cung cấp các thành phần phần mềm
  • FOSS (Miễn phí và Nguồn mở) Software ) các nhà cung cấp quản lý mã trong kho lưu trữ mở hoặc trình quản lý gói

Đáng chú ý, các nhà cung cấp này đội nhiều mũ. Họ có thể là nhà sản xuất, nhà phát triển, người bảo trì hoặc nhà cung cấp. Lý tưởng nhất, các thực thể này cũng nên sắp xếp SBOM cho khả năng phần mềm của họ. Một sự khác biệt duy nhất cần nhớ là hầu hết các nhà cung cấp cũng là người tiêu dùng. Tuy nhiên, một nhà cung cấp không có bất kỳ thành phần thượng nguồn nào thường được gắn thẻ là một thực thể gốc.

SBOM trong khu vực công

Các cơ quan liên bang đóng một vai trò quan trọng trong việc áp dụng và thực thi các tiêu chuẩn SBOM. Sự giám sát của họ không chỉ là thiết lập các tiêu chuẩn mà còn đảm bảo sự phù hợp với các tiêu chuẩn này vì lợi ích công cộng lớn hơn. Được ban hành vào tháng 5/2021, Sắc lệnh hành pháp 14028 của Mỹ buộc tội nhiều cơ quan có thẩm quyền pháp lý rộng, bao gồm NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia), với việc tăng cường an ninh mạng thông qua nhiều sáng kiến liên quan đến bảo mật và tính toàn vẹn của chuỗi cung ứng phần mềm.

Mục 10 (j) của Lệnh hành pháp 14028 định nghĩa SBOM là "hồ sơ chính thức chứa các chi tiết và mối quan hệ chuỗi cung ứng của các thành phần khác nhau được sử dụng trong việc xây dựng phần mềm". SBOM có tiềm năng tăng tính minh bạch, xuất xứ và tốc độ mà tại đó các lỗ hổng có thể được xác định và khắc phục bởi các bộ và cơ quan liên bang.

Các loại và định nghĩa SBOM 

Tùy thuộc vào giai đoạn phát triển và triển khai phần mềm, các loại SBOM khác nhau được tạo ra, mỗi loại phục vụ một mục đích duy nhất và cung cấp những hiểu biết riêng biệt về các thành phần phần mềm. Dưới đây là sáu loại tài liệu SBOM phổ biến.

Thiết kế

Ở giai đoạn phát triển ứng dụng này, một số thành phần thậm chí có thể chưa tồn tại. Loại SBOM này thường bắt nguồn từ đặc điểm kỹ thuật thiết kế, RFP (yêu cầu đề xuất) hoặc khái niệm ban đầu.

Nguồn

Được hình thành trực tiếp từ môi trường phát triển, nó cung cấp thông tin chi tiết về các tệp nguồn và các phụ thuộc cần thiết để xây dựng thành phần lạ sản phẩm. Nó thường được tạo ra từ công cụ SCA (phân tích thành phần phần mềm), đôi khi cần làm rõ thủ công.

Xây dựng

Được sản xuất như một phần của quá trình xây dựng phần mềm, nó hợp nhất dữ liệu từ các tệp nguồn, các thành phần được xây dựng và các phụ thuộc khác. Điều này đặc biệt có giá trị vì nó được tạo ra trong khi tạo tạo thành phần mềm có thể phát hành.

Phân tích

SBOM này có nguồn gốc từ phân tích sau xây dựng các tạo tác phần mềm, chẳng hạn như tệp thực thi hoặc hình ảnh máy ảo. Nó liên quan đến phỏng đoán đa dạng và đôi khi được gọi là SBOM "bên thứ ba".

Triển khai

Một bản kiểm kê đầy đủ các phần mềm có mặt trên một hệ thống. Được tạo ra bằng cách ghi lại SBOM của các thành phần phần mềm được cài đặt trên hệ thống, nó cung cấp thông tin chi tiết về việc triển khai phần mềm trong thế giới thực.

Runtime

Được tạo ra thông qua thiết bị hệ thống thời gian thực, SBOM này nắm bắt các thành phần có mặt trong quá trình thực thi phần mềm. Nó cung cấp cái nhìn sâu sắc về các thành phần động và các kết nối bên ngoài và cũng có thể được gọi là "thiết bị" hoặc "động".

Các yếu tố của SBOM là gì? 

Các yếu tố tối thiểu của SBOM bao gồm tên nhà cung cấp phần mềm, các thành phần, phiên bản của chúng, số nhận dạng duy nhất, mối quan hệ của các phụ thuộc, tác giả của dữ liệu SBOM và dấu thời gian, theo NTIA (Cục Viễn thông và Thông tin Quốc gia). Ngoài ra, dữ liệu SBOM nên chứa các yếu tố sau để có hiệu quả và toàn diện: 

  • Trường dữ liệu: Phải có các trường dữ liệu được xác định rõ ràng chi tiết tên thành phần, phiên bản và thuộc tính của phần mềm. Điều này đảm bảo rằng mọi bên liên quan đều hiểu thấu đáo cấu trúc của phần mềm. 
  • Hỗ trợ tự động hóa: Với tính chất năng động của phát triển phần mềm, SBOM phải có khả năng được tự động cập nhật và tích hợp vào các đường ống phát triển và triển khai phần mềm. Điều này đảm bảo độ chính xác và hiệu quả theo thời gian thực. 
  • Thực tiễn và quy trình: Ngoài việc chỉ liệt kê các thành phần, SBOM nên được nhúng trong các thực tiễn và quy trình tốt nhất chi phối việc tạo, bảo trì và sử dụng nó. 

Định dạng SBOM

Các định dạng SBOM phổ biến bao gồm:

  • SPDX ( Software (Trao đổi dữ liệu gói)—do Linux Foundation phát triển
  • CycloneDX — Thường được sử dụng để bảo mật ứng dụng
  • SWID ( Software Đánh dấu nhận dạng)—Được định nghĩa bởi ISO/IEC 19770-2

Bằng cách lập danh mục từng thành phần, SBOM cho phép các tổ chức xác định rõ ràng các giấy phép liên quan đến từng phần mềm, đảm bảo rằng chúng vẫn tuân thủ các điều khoản cấp phép và tránh những cạm bẫy pháp lý tiềm ẩn.

Luôn tuân thủ và Secure trong SDLC của bạn 

Do các cuộc tấn công chuỗi cung ứng ngày càng gia tăng, chính phủ liên bang và khu vực tư nhân nhận thức được tầm quan trọng của việc nhận dạng phần mềm . SBOM rất quan trọng trong việc liệt kê chi tiết các thành phần phần mềm, đặc biệt là các thành phần của bên thứ ba. Dữ liệu SBOM hỗ trợ ngăn ngừa lỗ hổng bảo mật và đảm bảo tính minh bạch trong việc tạo SBOM. Mỗi phần mềm nên bao gồm một SBOM toàn diện để tăng cường các biện pháp bảo mật. 

Bằng cách lập danh mục từng thành phần, SBOM cho phép các tổ chức xác định rõ ràng các giấy phép liên quan đến từng phần mềm, đảm bảo rằng chúng vẫn tuân thủ các điều khoản cấp phép và tránh những cạm bẫy pháp lý tiềm ẩn. 

Với OPSWAT SBOM , các nhà phát triển có thể xác định các lỗ hổng đã biết, xác thực giấy phép và tạo kho thành phần cho OSS (phần mềm nguồn mở), các phụ thuộc của bên thứ ba và vùng chứa. Để tìm hiểu thêm về việc bảo mật chuỗi cung ứng phần mềm của bạn bằng các giải pháp SBOM mạnh mẽ, hãy truy cập giải pháp Bảo mật Supply Chain Software của OPSWAT .

Tìm hiểu với chuyên gia
Tags:

Bài viết mới nhất

Đăng ký nhận bản tin OPSWAT

Nhận các cập nhật mới nhất từ OPSWAT cùng thông tin sự kiện và xu hướng đang định hình ngành an ninh mạng
Đăng ký cho tôi

Theo dõi chúng tôi trên mạng xã hội Media

Theo OPSWAT trên LinkedIn, Facebook, Twitter và YouTube của bạn để biết thêm!

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về công ty, câu chuyện, thông tin sự kiện và nhiều thông tin khác.
Đăng ký