Perché hai bisogno di una SBOM
La Software Bill of Materials (SBOM) è oggi un elemento chiave per la sicurezza del software e la gestione dei rischi lungo la propria Software Supply chain. Sono anni che insieme a Sonatype portiamo nelle Aziende una nuova consapevolezza sull'importanza di conoscere le proprie applicazioni software.
Nel frattempo la legislazione ha fatto dei passi in avanti, a partire dagli USA, dopo i numerosi attacchi alla Supply Chain (vedi Log4J, Struts):
-
Ordine Esecutivo 14028 (EO 14028): Questo ordine esecutivo degli Stati Uniti, emesso nel maggio 2021, mira a migliorare la sicurezza informatica delle catene di approvvigionamento del software. L’EO 14028 definisce l’SBOM come un “registro formale contenente i dettagli e le relazioni della catena di approvvigionamento di vari componenti utilizzati nella costruzione del software” e promuove la sua adozione1.
-
Cyber Resilience Act (CRA) dell’Unione Europea: Il CRA richiede l’uso delle liste di componenti software (SBOM) come parte delle misure di resilienza cibernetica. Questo atto mira a migliorare la sicurezza informatica in Europa e promuove la trasparenza riguardo alle dipendenze dei componenti software2.
-
National Telecommunications and Information Administration (NTIA): L’NTIA ha guidato sforzi collaborativi per avanzare l’implementazione dell’SBOM attraverso processi multistakeholder. Questi sforzi hanno contribuito a definire standard e formati per l’SBOM, come CycloneDX e Software Product Data Exchange (SPDX)3.
-
Vulnerability Exploitability eXchange (VEX): Questo concetto correlato all’SBOM riguarda le attestazioni sulla presenza di vulnerabilità note nei prodotti software. Le informazioni VEX indicano se un prodotto è interessato da una vulnerabilità conosciuta4.
Gli attacchi alla software supply chain sono aumentati in modo significativo nel 2023. Inoltre, il numero di pacchetti dannosi rilevati è raddoppiato rispetto al periodo 2019-2022, raggiungendo 245.0325. Questo ha reso il 2023 un anno record per gli attacchi alla software supply chain.
Il rischio è che ogni componente introdotto può diventare un punto di ingresso per un attacco hacker.
Ecco perché hai bisogno di una SBOM, ora
{ "slidesPerView": 6, "spaceBetween": 10, "loop": false, "centeredSlides": true, "pagination": { "el": ".swiper-pagination", "clickable": true }, "navigation": { "nextEl": ".swiper-button-next", "prevEl": ".swiper-button-prev" } }