Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

IBM bidrar med Supply Chain Security Tools till OWASP

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 146

IBM har bidragit med två verktyg för försörjningskedjor med öppen källkod – SBOM Utility och License Scanner – till Open Worldwide Application Security Project (OWASP) Foundations CycloneDX Software Bill of Materials (SBOM)-standard. Verktygen kommer att fylla två avgörande luckor i CycloneDX, som OWASP beskriver som en "full-stack" BOM-standard som ger avancerad minskning av risken i försörjningskedjan.

SBOM är en förteckning över alla enskilda komponenter som används i programvaran. Upptäckten av sårbarheten i Log4j bibliotek för två år sedan belyste hur få organisationer som förstod vad som fanns i programvaran de körde. Det räcker inte att bara veta vilka tredjepartskomponenter, bibliotek och ramverk som används - organisationer måste vara medvetna om alla beroenden de komponenter använder. Som svar på olika attacker i leveranskedjan och Log4j-kaoset utfärdade Vita huset ett verkställande order kräver att utvecklare förbättrar säkerheten i sina leveranskedjor. Ett sätt är att inkludera och underhålla en SBOM för varje mjukvara de distribuerar.

"IBM har förespråkat för alla utvecklare och organisationer som skapar modern programvara för att börja sin resa för att skapa SBOMs", säger Jamie Thomas, IBM:s general manager för systemstrategi och utveckling. "Dessa verktyg är grundläggande komplement för att hjälpa utvecklare på den här resan, så att de bättre kan förstå de potentiella riskerna i deras programvaruförsörjningskedjor."

Standardisering av SBOM

Arbetet med att standardisera SBOM har accelererat med den kraftiga ökningen av attacker från programvarans leveranskedja under de senaste två åren.

CycloneDX är en av två primära SBOM-standarder; den andra är Linux Foundations Software Package Data Exchange (SPDX). Förespråkare för den nyare CycloneDX beskriver den som en mer lättviktsstandard som är bättre lämpad för dem som söker ett maskinläsbart sätt att utbyta information. Linux Foundation 2021 deklarerade SPDX en SBOM-standard, även om den ursprungligen skapades för immateriella rättigheter och licenser. Båda organisationerna utökar sina respektive SBOM-standarder.

IBM har aktivt deltagit i att främja CycloneDX:s standardinsatser, säger Steve Springett, chef för produktsäkerhet på ServiceNow och ordförande för OWASP:s CycloneDX-arbetsgrupp.

"Säkerhet i försörjningskedjan för programvara är ett ämne för diskussioner på styrelsenivå," Springett berättar Dark Reading. "Det finns många sätt som organisationer bör förbättra sin mjukvaruförsörjningskedja. Och det börjar med att faktiskt ha all data och fler verktyg för att driva mer intelligens."

Licenseringsskannerverktyg ger balans med SPDX

CycloneDX-arbetsgruppen har introducerat vissa licensskanningsfunktioner under åren, inklusive stöd på basnivå för SPDX-licens-ID:n. Men CycloneDX:s licenskapacitet har släpat efter funktionaliteten hos SPDX. Additionen av IBM:s licensskanner fyller det tomrummet, säger Springett.

"Det är bra att vi har en licensskanner som en del av projektet", säger han. "Att ha ett dedikerat licensverktyg kommer faktiskt att bjuda in fler människor till Cyclone DX-bordet som vi har byggt."

Brian Fox, medgrundare och CTO för AppSec-verktygsleverantören Sonatype, håller med.

"Jag tror att det här hjälper till att balansera saker och ting med CycloneDX på licenssidan," säger Fox. "Det kommer att ge fler byggstenar för att verktyg i ekosystemet ska fungera bättre. Att lättare kunna lägga till licensierad data till din CycloneDX SBOM, om du inte har befintliga verktyg för att göra det, är ett användbart verktyg. Att ha möjligheten att validera båda formaten är också ett användbart verktyg."

I ett OWASP-blogginlägg på onsdagen tillkännager IBM:s bidrag, noterade Springett att IBM:s License Scanner skannar filer efter licenser och juridiska villkor.

"Det kan användas för att identifiera textmatchande licenser och licensundantag från den fullständiga, publicerade SPDX-licenslista," han skrev. "Den kan också konfigureras för att identifiera ytterligare juridiska termer, nyckelord, alias och icke-SPDX-licenser. Som ett bibliotek är License Scanner utformad för att integreras i befintlig programvara för BOM-generering eller kan användas av sig själv som ett kommandoradsverktyg."

SBOM Utility lägger till API:er till CycloneDX

Springett beskrev IBMs SBOM-verktyg som en API-plattform som kan validera CycloneDX- eller SPDX-formaterade stycklistor med deras publicerade scheman. Den kan validera och analysera en mängd olika BOM-typer, inklusive hårdvara (HBOM) och SaaS (SaaSBOM). I framtiden, noterade Springett, kommer SBOM Utility att stödja OWASP:s Software Component Verification Standard (SCVS), "som definierar en BOM Mognadsmodell (BMM) för att hjälpa till att identifiera och minska risker i mjukvaruförsörjningskedjan."

Han noterade också att SBOM Utility kunde bearbeta dokument som Vulnerability Disclosure Reports (VDR) och Vulnerability Exploitability eXchange (VEX) dataformat, som CycloneDX har specificerat för att ge riskbedömning.

"SBOM-verktyget är fantastiskt eftersom det tar ett API-tillvägagångssätt och tillåter organisationer att dela upp CycloneDX-datamodellen och all data i den", säger Springett. "Om du bryr dig om vissa aspekter av materialförteckningen kan du snabbt fråga den, vilket är fantastiskt. Och du kan sedan tillåta organisationer att börja skapa policyer baserade på de typer av data som kanske finns eller inte finns i den materialet."

Medan IBM ursprungligen byggde SBOM Utility and License Scanner för dess användning, har företaget inte sagt om det planerar att släppa kommersiella versioner.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.