系統安全與網路安全

SBOM 軟體物料清單

近幾年來,網路威脅態勢急遽升溫,強化資安問題的變得更具急迫性,這不只是關乎個人、家庭、企業、組織的永續性,也涉及到了國家安全。隨著美國政府行政命令的強力要求,軟體供應鏈安全及軟體物料清單(SBOM)的相關法規與研究,正在加速發展。

什麼是 SBOM(軟體物料清單)?

讓我們從基礎開始,當談論到 SBOM 時,我們是什麼意思呢?

SBOM (全名為 Software Bill of Materials,軟體物料清單) 最初由美國食品和藥物管理局(FDA)於2018年提出,作為醫療器械網路安全管理上市前提交的一部分。然後,它們被稱為網路安全材料清單(CBOM),強調它們對產品安全的重要性。目標是創建構成設備的所有軟體和硬體元件的清單。它使組織能夠有效地管理其資產並充分瞭解所使用軟體的風險。

 

供應鏈安全和 SBOM

隨著軟體供應鏈攻擊的威脅,這使得SBOM成為確保供應鏈安全(Supply Chain Security)的關鍵。

在過去幾年中,軟體供應鏈攻擊已開始佔據各家媒體頭條。考慮到軟體和供應鏈變得多越來越複雜和多層次,這並不奇怪。今天的互聯設備和產品可以依賴來自多個來源的數十甚至數百個軟體庫:有一些是內部開發的,另一些是從第三方供應商處購買的,並添加到組合中的是開源專案。

此外,大流行造成的嚴重供應鏈中斷,導致關鍵業務供應鏈短缺。供應鏈延遲和故障促使設備和產品製造商尋找新的和未經審查的供應商,也讓供應鏈風險管理增加了另一個挑戰。

 

經典案例:SOLARWINDS 和 LOG4SHELL

2020年的SolarWinds供應鏈攻擊深入到聯邦政府的基礎設施以及一些最大、最精通技術的組織中,這引發了一個問題,就是我們究竟對每天使用的軟體瞭解多少?我們了解產品和設備的構成基礎嗎?

另一個發人深省的例子是,第三方和開源元件在我們的軟體和設備中無處不在,這是2021年底在廣受歡迎和無處不在的Log4j開源Java庫中發現的關鍵漏洞。一旦披露,該漏洞就清楚地表明瞭開源元件的固有風險,這些元件是我們軟體產品不可分割的一部分。通過漏洞進行的令人瞠目結舌的漏洞利用嘗試次數 - 在其披露后的幾個小時內,這緊急提醒我們,對我們供應鏈中開源元件的可見性和控制是漏洞管理的關鍵部分。

如果做得好,SBOM允許我們檢查和監控通過供應鏈收到的元件,並在威脅和漏洞成為頭條新聞之前對其進行管理。

 

美國拜登總統的網絡安全行政命令 (EO 14028) 使 SBOM 成為必要

2021 年 5 月,為了應對日益增加的供應鏈攻擊威脅,例如 SolarWinds 漏洞,拜登總統發布了一項關於改善國家安全的行政命令 (EO 14028)。 EO 14028 呼籲組織和聯邦機構共同努力改善網絡安全。

這一行動的一部分是建議軟體開發人員向他們的客戶提供 SBOM。 該軟體材料清單包括有關應用程序使用的庫、附加組件和自定義源代碼的信息。

 

SBOM 使用案例

雖然行政命令明確表示我們越來越需要使用SBOM進行監管,但一些公司組織仍然認為法規只是必須忍受的必要邪惡,而不是利用可以提高其安全性和合規性戰略和流程的工具。當持續使用工具時,SBOM 可以幫助產品安全團隊在整個產品生命週期(從開發的最早階段到後期生產)中檢測和降低風險。

除了作為法規要求,SBOM對於管理軟體供應鏈風險的軟體或數位產品製造商來說也是一種至關重要的做法。在幾個使用範例中,SBOM 提供了它的價值。

  • 符合聯邦要求

在拜登總統的行政命令之後,那些向聯邦政府提供軟體的人需要提供SBOM,詳細說明所使用的元件以及版本之間的更改。

  • 降低軟體消費者的風險

SBOM 提供對軟體組成的可見性,使組織能夠驗證軟體是否符合其合規性標準和安全要求,並評估風險。這對於高度監管的行業(如醫療保健、關鍵基礎設施供應商/公用事業、汽車和金融)尤為重要。

  • 向左轉移,以更快地將優質產品推向市場

設備製造商對其產品有很高的標準,在許多情況下,在生產後進行更改的能力有限。SBOM 允許他們跟蹤上游軟體中的更改,以便在生產早期識別和修復新漏洞,此時修復起來更容易且成本更低。

  • 支援併購

在收購新公司時,企業需要在收購前完成盡職調查,調查其投資。此過程的一部分涉及徹底評估購買風險。SBOM 提供對公司在其產品開發中使用的軟體的可見性,從而能夠更準確地評估產品和設備。

 

數位孿生技術協助建立精準的SBOM

艾索科技提供的解決方案是利用網路 Digital Twins 技術,為您提供了大規模開發和維護安全產品的基礎架構,可以統一管理產品生產前的安全評估與產品開發後的安全運營,為您提供在產品的整個生命週期內保護產品所需的可見性、上下文和敏捷性,最重要的是它無需原始程式碼。

 

艾索科技協助您進行 SBOM (軟體物料清單) 管理

艾索科技將協助您獲取整個產品組件的詳細且持續更新的 SBOM,讓OEM及其供應商能夠開發和維護安全產品的每一步。

我們可以在所有開發計劃中全面瞭解您的軟體組成清單 (SBOM),從而增強問責制和產品安全性。

  • 完整的資產可視性

通過產品的標準化網路Digital Twin,將自動全面了解您的產品組成,包括 SBOM、版本控制、依賴關係、許可證、操作系統配置等等

  • 產品組合影響分析

在產品的開發期間和開發後,自動檢測整個資產清單中的漏洞,並在漏洞被利用之前,我們將建議您如何對其進行修復。

  • 清單分析

按地理位置、營業單位或開發計劃等各種屬性,對資產清單進行切片和切塊,並從資產(元件)向下鑽取到 SBOM 再到漏洞

  • SBOM 到設備的可見性

與您的 PLM、QMS、ERP 和遠端更新系統無縫集成,將清單可見性從 SBOM 擴展到產品 ID,從而暴露相關風險

  • 端到端的可追溯性

查明元件和產品中的漏洞和安全漏洞,並在從設計到後期製作的任何生命周期階段追溯其來源

 

想了解更多關於 產品安全與網路安全 解決方案,歡迎與艾索科技聯繫 !

艾索科技股份有限公司 AISOL Technology

  • 電話:02-2500-6210
  • 郵件:info@aisol.com.tw