Perché hai bisogno di una SBOM

La Software Bill of Materials (SBOM) è oggi un elemento chiave per la sicurezza del software e la gestione dei rischi lungo la propria Software Supply chain. Sono anni che insieme a Sonatype portiamo nelle Aziende una nuova consapevolezza sull'importanza di conoscere le proprie applicazioni software. 

Nel frattempo la legislazione ha fatto dei passi in avanti, a partire dagli USA, dopo i numerosi attacchi alla Supply Chain (vedi Log4J, Struts):

  1. Ordine Esecutivo 14028 (EO 14028): Questo ordine esecutivo degli Stati Uniti, emesso nel maggio 2021, mira a migliorare la sicurezza informatica delle catene di approvvigionamento del software. L’EO 14028 definisce l’SBOM come un “registro formale contenente i dettagli e le relazioni della catena di approvvigionamento di vari componenti utilizzati nella costruzione del software” e promuove la sua adozione1.

  2. Cyber Resilience Act (CRA) dell’Unione Europea: Il CRA richiede l’uso delle liste di componenti software (SBOM) come parte delle misure di resilienza cibernetica. Questo atto mira a migliorare la sicurezza informatica in Europa e promuove la trasparenza riguardo alle dipendenze dei componenti software2.

  3. National Telecommunications and Information Administration (NTIA): L’NTIA ha guidato sforzi collaborativi per avanzare l’implementazione dell’SBOM attraverso processi multistakeholder. Questi sforzi hanno contribuito a definire standard e formati per l’SBOM, come CycloneDX e Software Product Data Exchange (SPDX)3.

  4. Vulnerability Exploitability eXchange (VEX): Questo concetto correlato all’SBOM riguarda le attestazioni sulla presenza di vulnerabilità note nei prodotti software. Le informazioni VEX indicano se un prodotto è interessato da una vulnerabilità conosciuta4.

Gli attacchi alla software supply chain sono aumentati in modo significativo nel 2023. Inoltre, il numero di pacchetti dannosi rilevati è raddoppiato rispetto al periodo 2019-2022, raggiungendo 245.0325. Questo ha reso il 2023 un anno record per gli attacchi alla software supply chain. 

Il rischio è che ogni componente introdotto può diventare un punto di ingresso per un attacco hacker.

 

Ecco perché hai bisogno di una SBOM, ora

                {
                    "slidesPerView": 6,
                    "spaceBetween": 10,
                    "loop": false,                    
                    "centeredSlides": true,                    
                    "pagination": {
                        "el": ".swiper-pagination",
                        "clickable": true
                    },
                    "navigation": {
                        "nextEl": ".swiper-button-next",
                        "prevEl": ".swiper-button-prev"
                    }
                }

Tags