Napadi na digitalni razvoj mogu dovesti do financijskih i reputacijskih gubitaka — ili čak kaznenog progona Komisije za vrijednosne papire i burzu (SEC). Softveri i usluge integriraju sve složenije komponente lanaca opskrbe, partnera i drugih ovisnosti. Kako povećavamo ovisnost naših aplikacija o softveru otvorenog koda, kompletima za razvoj softvera i drugim elementima trećih strana, povećavamo i svoje potencijalne nove rizike. U budućnosti trebamo nove pristupe koji identificiraju i upravljaju tom novom dimenzijom rizika treće strane.

Softverski spisak materijala (SBOM)

Prvi korak u ublažavanju rizika u lancu nabave idealnog softvera vaše organizacije njihovo je prepoznavanje i razumijevanje. Softverski popis materijala (SBOM) popis je svih sastavnih komponenti i softverskih ovisnosti uključenih u projektiranje, izgradnju i rad aplikacije. SBOM postaje bitan instrument za sustavno upravljanje rizicima lanca nabave softvera u Europi.

S obzirom na veliki broj vanjskih ovisnosti u modernim aplikacijama, sigurnosni rizici softvera postaju rizici trećih strana. SBOM tada postaje instrument za mjerenje i upravljanje tim rizicima. Dok SBOM pruža katalog komponenti u aplikaciji, datoteka za razmjenu mogućnosti iskorištavanja ranjivosti (VEX, ponekad se naziva i "SBOM pratilac") za istu aplikaciju, bilježi ranjivosti i njihovu iskoristivost ovisnosti trećih strana.

Kako koristiti SBOM?

SBOM nije samo dokument koji treba čuvati za buduću upotrebu. To je alat koji kupci softvera mogu koristiti za razumijevanje i upravljanje potencijalnim rizicima tijekom i nakon nabave softvera. Da biste učinkovito koristili SBOM treće strane, uspostavite i koristite programski pristup s dosljednošću u fazama projektiranja, izgradnje i rada. Ovaj programski pristup korištenja SBOM-a u svakoj fazi mogao bi se činiti jednostavnim, ali postoje neke uobičajene pogreške koje mogu stvoriti nepotrebnu zabunu za sve uključene strane i poništiti sve prednosti smanjenja rizika.

Kako ne koristiti SBOM?

U nastavku su navedene neke uobičajene zamke koje treba izbjegavati kada se počnu uključivati ili prihvaćati SBOM datoteke koje pružaju dobavljači softvera:

• Nedovoljna analiza - SBOM-ovi mogu pomoći u smanjenju rizika povezanih s aplikacijama trećih strana, ali samo ako vaša organizacija ima način kontinuirane analize datoteka protiv novih ranjivosti. Unos i analiza moraju biti dinamični i automatizirani da bi bili učinkoviti.
• Nedovoljno ažuriranja - ako vaša organizacija od dobavljača softvera traži samo SBOM u trenutku nabave, informacije će brzo zastarjeti.
• Nedovoljne korektivne mjere- organizacije moraju provoditi unaprijed dogovorene SLA i poticaje za ispravljanje problema. Kupci softvera trebali bi prenijeti ta očekivanja u kontaktu s dobavljačima softvera, zajedno s jasno definiranim poticajima i sankcijama.

Suvremena rješenja oslanjaju se na sve složeniji lanac opskrbe elemenata. Kako bi upravljale rizicima unutar lanca nabave softvera, organizacije moraju kontinuirano analizirati, ažurirati i koristiti alate kao što je SBOM. Softver koji vaš tim kupuje može sadržavati ranjivosti i rizike koji vašu organizaciju izlažu značajnim posljedicama, bez obzira na to prepoznajete li ih vi ili ne.

Izvor podataka: Grant Thornton International