lista de materiais de software
Vamos entender por que os desenvolvedores devem construir uma lista de materiais de software (SBOM) para a transparência e segurança de seus aplicativos.
lista de materiais de software
Abra sua IDE favorita, acesse seu projeto mais recente e abra seu respectivo arquivo de lock (package-lock.json, go.mod, Pipfile.lock, e assim por diante). Você provavelmente encontrará centenas ou milhares de pacotes e bibliotecas de código aberto, ilustrando exatamente quão amplamente as partes invisíveis e desconhecidas da sua aplicação se espalham.
Uma lista de materiais de software (SBOM) é um inventário semelhante de todos os componentes de software, bibliotecas e dependências dos quais seu aplicativo depende, mas vai além dos nomes de pacotes e versões fixas. Ao agregar dados sobre licenças de código aberto e muito mais, uma SBOM oferece visibilidade completa, que você pode usar para prevenir ataques à Supply chain ou identificar novas vulnerabilidades em uma dependência em duas, três ou mais camadas de profundidade.
é o custo médio de violações de dados envolvendo dependências de terceiros como vetor de ataque primário.
IBM
contenham ferramentas e bibliotecas de código aberto com pelo menos uma vulnerabilidade ativa.
Synopsys
descobertos entre bibliotecas open-source populares, com 1 em cada 8 downloads contendo riscos conhecidos e evitáveis.
Sonatype
Um exemplo de uma lista de materiais de software e como funciona
Uma SBOM vem em muitos formatos de saída e estruturas de dados diferentes, mas é, em última análise, um banco de dados de artefatos, incluindo seus nomes de pacotes, versões, fontes, licenças, URLs e muito mais. As SBOMs também identificam a relação entre dois artefatos para transparência na rede de dependências da qual seu aplicativo depende.
Embora as SBOMs não sejam particularmente úteis para serem percorridas, elas são extremamente úteis no gerenciamento de vulnerabilidades mais amplo do seu aplicativo. Você pode alimentar as SBOMs dos seus aplicativos em outras ferramentas que oferecem análise de dependências, detecção de malware ou dados de fim de vida (EOL) para garantir que você esteja revelando todas as vulnerabilidades possíveis em seu aplicativo — não apenas as de nível superficial.
Como ter uma lista de materiais de software ajuda os desenvolvedores?
Ao solucionar interrupções rapidamente, uma SBOM atualizada ajuda você a identificar exatamente qual pacote é o responsável, mesmo que esteja em duas ou três camadas de profundidade.
Com uma compreensão completa dos componentes que sua aplicação requer para operar de forma eficaz, você pode realizar uma mitigação de riscos mais proativa, identificando possíveis pontos fracos e priorizando correções ou migrações para dependências mais seguras.
Com uma SBOM, suas equipes de desenvolvimento e operações têm uma fonte única de verdade para colaborar em problemas ou priorizar soluções proativas para questões atuais.
As SBOMs ajudam a identificar alterações nos metadados de uma dependência de código aberto, o que pode indicar um ataque à cadeia de suprimentos, onde novos pacotes foram injetados com malware (lembra-se do backdoor do XZ Utils?)
Certas indústrias e ambientes regulatórios exigem um inventário completo de termos de licenciamento e inventários de sourcing — com uma SBOM bem mantida e completa, você pode garantir a conformidade e evitar problemas legais.
Implementando uma lista de materiais de software: uma visão geral
A geração de SBOMs é acessível à maioria dos desenvolvedores em seu ambiente de trabalho local — uma opção é uma ferramenta de código aberto, como o Syft, para investigar qualquer imagem de Container ou sistema de arquivos local:
Syft localmente usando seu one-liner, Homebrew, ou um lançamento binário.Ou com o Aikido
Melhores práticas para gerenciar sua lista de materiais de software de forma eficaz
Crie suas primeiras SBOMs o mais cedo possível em seu projeto, mesmo que você ainda não tenha escolhido completamente suas plataformas de segurança de aplicativos. Quanto mais histórico você tiver, mais fácil será rastrear as mudanças que afetam negativamente seu aplicativo.
Embora as ferramentas CLI sejam fáceis de instalar na sua estação de trabalho local, elas, em última análise, deixam você com artefatos que você deve armazenar e agregar em outro lugar para gerar insights reais. No mínimo, inclua a geração de SBOM no seu pipeline CI/CD para garantir que você nunca se esqueça de uma execução manual.
Usar um formato padrão da indústria como CycloneDX ou SPDX permitirá que você se integre com mais softwares de segurança e compartilhe SBOMs com parceiros ou reguladores.
Comece a criar uma lista de materiais de software gratuitamente
Conecte sua plataforma Git ao Aikido para iniciar uma lista de materiais de software com triagem instantânea, priorização inteligente e contexto preciso para remediação rápida.
Primeiros resultados em 60 segundos com acesso somente leitura.
SOC2 Tipo 2 e
Certificado ISO27001:2022
Fique seguro agora
Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.
.avif)
