在一个软件已成为日常生活不可或缺的一部分的世界里, 确保这些产品的安全性和透明度已成为当务之急. 随着基于软件的产品的兴起, 监管机构已迅速实施新标准,以帮助管理软件供应链的复杂性. 在这项工作中获得牵引力的一个工具是软件物料清单(SBOM)。.
SBOM是构成软件产品的所有组件的综合列表. 此列表包含有关每个组件的版本和来源的信息, 提供对产品构成的清晰理解. soms对于确保软件安全性和透明性至关重要,因为它们使组织能够轻松地跟踪和管理其软件供应链,并识别潜在的漏洞或恶意代码. soms在各个行业中变得越来越强制性,并且被认为是任何组织的法规遵从性策略的关键组成部分. 要求或建议使用soms的法规和标准包括:
- 美国网络安全和基础设施安全局(CISA)建议使用soms作为其安全软件开发指导方针的一部分.1 14028号行政命令指示美国国家标准与技术研究所(NIST)制定创建和发布soms的指导方针,并建立在联邦采购过程中使用soms的标准.2, 3 美国国家电信和信息管理局的SBOM定义了一组应该包含在SBOM中的最小元素. 这些最小元素是包名, 版本, 唯一标识符, 授权信息, 依赖关系, 已知的安全漏洞和软件散列.4
- 欧盟网络安全机构(ENISA) 《澳门赌场官方软件》 为寻求增强网络安全态势和管理与软件相关的供应链风险的组织提供了宝贵的资源.5
- 英国国家网络安全中心(NCSC)建议组织使用soms来了解与他们使用的软件组件相关的风险,并识别和管理这些组件中的漏洞.6
- 澳大利亚网络安全中心(ACSC) 信息安全手册:软件开发指南 建议使用SBOM,因为它“可以通过允许更容易地识别和管理与应用程序使用的单个软件组件相关的安全风险,帮助为消费者提供更大的网络供应链透明度。.”7
- 加拿大通信安全机构(CSE) 提高加拿大数字供应链弹性的建议 建议使用SBOM来提高透明度和处理软件供应链攻击的能力.8
- 国际标准化组织(ISO)/国际电工委员会(IEC) 29147:2018 信息技术-安全技术-漏洞披露 是否有国际标准为漏洞披露提供指引.9 该标准为参与漏洞披露过程的所有利益相关者提供指导, 包括供应商, 漏洞研究人员和用户. 它概述了识别和报告漏洞以及及时有效地响应漏洞报告的最佳实践. 该标准没有专门针对sbm, 但它确实提供了关于漏洞披露的指导,可以与soms一起使用,以提高软件产品的安全性. 通过遵循概述的最佳实践和原则,并使用SBOM来管理软件供应链风险, 组织可以提高其软件产品的安全性和弹性,并更好地抵御网络威胁.
- NIST特别出版物(SP) 800-218 安全软件开发框架(SSDF)版本1.1:降低软件漏洞风险的建议 提供了使用soms作为安全软件开发一部分的指导方针.10
值得注意的是,这些法规和标准可能会因司法管辖区的不同而有所变化. 安全审核员应及时了解其所在地区的最新发展,以确保他们了解最新的要求和最佳做法.
对SBOM规则的需求源于关键系统对软件的日益依赖以及涉及软件的安全事件数量的增加. 随着软件的发展, 管理这些产品的安全性和完整性变得越来越具有挑战性. 软件产品通常依赖于组件和库的复杂网络, 其中许多是由第三方组织开发和维护的. 这些组件中的一个漏洞可以迅速传播到使用相同组件的其他产品, 可能影响数百万个系统.
例如, 2021年12月, 在一个流行的软件库中发现了一个名为Log4Shell的严重安全漏洞, Apache Log4j.11 此漏洞使数百万使用Log4j库的易受攻击版本的系统面临风险. 更糟糕的是, 修复该漏洞需要更新Log4j库, 但这样做既复杂又耗时, 特别是对于大型和复杂的系统. 在Log4Shell漏洞的情况下, 由于缺乏受影响版本库的SBOM,组织很难快速确定漏洞是否会影响它们, 哪些特定的组件需要更新.
另一个例子是SolarWinds的黑客攻击, 2020年12月发现的重大网络攻击,影响了许多美国政府机构和私营澳门赌场官方下载. 一群黑客, 据信是俄罗斯人潜入了太阳风公司, 提供网络管理工具的软件澳门赌场官方下载, 来实施袭击. 他们在澳门赌场官方下载Orion软件的更新中插入了恶意软件, 然后被许多用户下载和安装. 该恶意软件允许黑客访问敏感信息并进行间谍活动. 这一事件凸显了软件供应链的脆弱性以及改进网络安全措施的必要性.12 在太阳风黑客事件中, 其中一个关键问题是Orion软件的受影响版本缺乏SBOM. 由于缺乏SBOM,组织很难快速确定需要更新或删除哪些特定组件以减轻黑客的影响.
监管机构呼吁制定SBOM法规,要求软件供应商提供有关其产品中使用的组件和库的完整而准确的信息. 然后,组织使用这些信息来评估他们使用的软件的安全性和风险,并就使用什么产品以及如何保护它们做出明智的决定. 简而言之, 对SBOM规则的需求源于确保软件安全性和完整性的需求,并帮助组织对他们使用的软件做出明智的决策.
将SBOM合并到信息系统审计中可以使审计人员了解组织中使用的软件,并确定需要解决的任何安全风险. 风险包括以下问题:
- 过时的组件- SBOM可以突出显示不再受支持或具有已知安全漏洞的任何组件.
- 未经授权的组件- SBOM揭示了组织未批准的任何组件,可能构成安全风险.
- 不遵守规定—SBOM确保软件符合相关的安全法规和标准.
通过将SBOM与信息系统审计相结合, 组织确保其软件的安全性,并保护其数据免受网络威胁. 因此, 使用soms可以建立对组织系统安全性的信任,并有助于降低安全漏洞的风险.
将SBOM合并到信息系统审计中可以使审计人员了解组织中使用的软件,并确定需要解决的任何安全风险.
SBOM是确保软件产品安全性和透明性的重要工具. 随着监管机构继续强制实施澳门赌场官方下载倒闭, 组织必须投资于工具和过程,以准确地创建和维护soms. 软件开发和供应链管理的未来肯定是由soms塑造的, 使它们成为任何组织的法规遵从策略的关键组成部分.
尾注
1 网络安全和基础设施安全局。”软件物料清单“美国
2 拜登,J. R.; 关于改善国家网络安全的行政命令,美国白宫,2021年5月12日
3 国家标准与技术研究所(NIST), 改善国家网络安全:NIST在2021年5月行政命令下的责任,“美国, 2021年5月12日
4 美国商务部和国家电信和信息管理局, 软件物料清单(SBOM)的最小元素,美国,2021年7月12日
5 Skouloudi C.; A. Malatras; R. Naydenov; G. 黛德; 保护物联网的指导方针,欧盟网络安全机构,希腊,2020
6 国家网络安全中心,”在最近供应链网络攻击上升后,NCSC发布了新的指导意见,英国,2022年10月12日
7 澳大利亚网络安全中心, 信息安全手册:软件开发指南,澳大利亚,2022年
8 加拿大数字基础设施弹性供应链保障工作组论坛 提高加拿大数字供应链弹性的建议,加拿大,2022年
9 国际标准化组织(ISO)/国际电工委员会(IEC), ISO / IEC 29147:2018 信息技术-安全技术-漏洞披露2018年,瑞士
10 Souppaya, M.; K. Scarfone; D. 道森; 美国国家标准与技术研究院(NIST)特别出版物(SP) 800-218 安全软件开发框架(SSDF)版本1.1:降低软件漏洞风险的建议2022年,美国
11 Log4j。”Apache Log4j安全漏洞, 2022年9月13日
12 Temple-Raston D.; ““最可怕的噩梦”网络攻击:太阳风黑客不为人知的故事,美国国家公共电台,2021年4月16日
Shailesh Y. Rangari
是思科公司的安全工程负责人吗. 他在进攻安全方面有超过14年的经验, 安全的开发实践和软件安全. 他曾领导NVIDIA Corporation的攻击性安全实践,并担任Ernst的经理 & 杨的安全咨询业务.