0
0
Se você está criando aplicativos de software, você está familiarizado – ou deve estar familiarizado – com SBOMs ou listas de materiais de software. Pense em um SBOMs como uma lista de ingredientes em sua aplicação. A urgência das organizações criarem e manter SBOMs precisos aumentou na sequência de vulnerabilidades recentes da cadeia de suprimentos de software, como Log4Shell e Spring4Shell. Além disso, se você fizer negócios com o governo dos EUA, um SBOM preciso e atualizado agora é um requisito, com base na Ordem Executiva de maio de 2021 emitida pela Casa Branca em resposta às repercussões de longo alcance do ataque SolarWinds.
De acordo com o Gartner, “até 2025, 60% das organizações que constroem ou adquirem software de infraestrutura crítica mandatarão e padronizarão os SBOMs em sua prática de engenharia de software, acima de menos de 20% em 2022”. O Gartner também reconhece que “manter os dados de listas de materiais de software (SBOMs) em sincronia com os artefatos de software correspondentes apresenta um desafio fundamental”. 1
As organizações estão acompanhando essa dinâmica de mercado? Uma pesquisa recente da Tidelift mostra que apenas 37% das organizações estão cientes dos novos requisitos da cadeia de suprimentos de software do governo em relação à segurança e SBOMs. Dessas organizações, apenas 20% estão usando SBOMs para a maioria ou todos os aplicativos hoje.
No entanto, a mudança está chegando rapidamente: a grande maioria das organizações — 78% — já está usando SBOMs em pelo menos alguns aplicativos ou tem planos de fazê-lo no próximo ano, de acordo com a pesquisa.
Código Aberto Complica Assuntos de SBOM
Desenvolver SBOMs pode ser um desafio, mas se você estiver usando componentes de código aberto em seus aplicativos – como a maioria das equipes modernas de desenvolvimento de software – o processo para criar um SBOM e mantê-lo atualizado se torna ainda mais complexo devido ao impacto das dependências transitivas.
Componentes de código aberto nos quais outros componentes de código aberto dependem, dependências transitivas podem ser difíceis de rastrear. Por exemplo, muitas organizações afetadas pelo Log4Shell não estavam imediatamente cientes de sua exposição porque ela veio através de dependências transitivas. Portanto, é fundamental que seu SBOM identifique não apenas dependências diretas de código aberto, mas também dependências transitivas.
Além disso, como os desenvolvedores estão constantemente comprometendo código para fornecer funcionalidade aprimorada aos aplicativos, é fundamental que os SBOMs sejam dinâmicos, capturando mudanças nos componentes de código aberto para cima e para baixo na cadeia de suprimentos de software de código aberto.
Conclusão: Controle os SBOMs
Para garantir a integridade das cadeias de suprimentos de software, o uso de SBOMs se tornará mais comum – e muitas vezes será necessário. Para garantir que sua organização esteja fornecendo SBOMs precisos e atualizados para os aplicativos que desenvolve e entrega, é importante lidar não apenas com sua lista de ingredientes, mas também com os ingredientes que seus ingredientes estão usando.
1 Gartner, “Innovation Insight for SBOMs”, Manjunath Bhat, Dale Gardner, Mark Horvath, 14 de fevereiro de 2022. GARTNER é uma marca registrada e marca de serviço da Gartner, Inc. e/ou de suas afiliadas nos EUA e internacionalmente e é usada aqui com permissão. Todos os direitos reservados.
FONTE: DARK READING