0
0
As listas de materiais de software (SBOMs) — uma lista detalhada de componentes, módulos e bibliotecas usadas para construir produtos — estão sendo aprovadas pelo Instituto Nacional de Padrões e Tecnologia (NIST) e pelos reguladores dos EUA como uma forma de reduzir os riscos de segurança cibernética da cadeia de suprimentos para os consumidores.
Mas a Equipe de Segurança de Código Aberto do Google aponta em uma postagem no blog hoje que o uso do SBOM sozinho não é uma ferramenta eficaz para avaliar a exposição. Em vez disso, a documentação deve ser comparada com um banco de dados de vulnerabilidades conhecidas para identificar quaisquer falhas de software conhecidas.
“Ao conectar essas duas fontes de informação, os consumidores saberão não apenas o que há em … seu software, mas também seus riscos e se precisam corrigir quaisquer problemas”, explica a equipe.
Os analistas do Google detalham como conseguiram mapear um documento Kubernetes SBOM usando o banco de dados de Vulnerabilidades de Código Aberto (OSV). O banco de dados OSV oferece um formato padronizado para comparação entre vários bancos de dados, incluindo o Github Advisory Database (GHSA) e o Global Security Database (GSD), bem como dados agregados em vários ecossistemas, variando de Python e Golang a Rust, de acordo com o post.
“Nosso exemplo questionou o banco de dados OSV, mas em breve veremos o mesmo sucesso no mapeamento de dados SBOM para outros bancos de dados de vulnerabilidades e até mesmo em usá-los com novos padrões como o VEX (Vulnerability-Exploitability eXchange), que fornece contexto adicional sobre se as vulnerabilidades no software foram mitigadas”, afirma
Para facilitar a avaliação completa do quadro de risco das equipes de segurança, os pesquisadores do Google recomendam que os criadores do SBOM comecem a incluir uma referência usando uma convenção de nomenclatura, como um URL Purl para todos os pacotes da cadeia de suprimentos de software.
“Esse tipo de esquema de identificação especifica o ecossistema e também facilita a identificação de pacotes, já que o esquema é mais resistente a pequenos desvios em descritores de pacotes, como o exemplo de sufixo acima”, dizem eles.
Evolução SBOM
Passos para casar os componentes de software com falhas conhecidas ajudarão os SBOMs a cumprir seu propósito pretendido: ajudar a gerenciar a perspectiva de ataque cibernético, afirma o blog de segurança do Google.
“Continuando neste caminho de adoção generalizada do SBOM e refinamento de ferramentas, esperamos que em breve possamos não apenas solicitar e baixar SBOMs para cada peça de software, mas também usá-los para entender as vulnerabilidades que afetam qualquer software que consumimos”, disseram eles.
FONTE: DARK READING