Оскільки списки компонентів програмного забезпечення (SBOM) стають все більш необхідними, а в деяких випадках і обов’язковими для приватних компаній та урядів у всьому світі, вони покликані забезпечити прозорість та допомогти організаціям зрозуміти, що входить до складу їхнього програмного забезпечення. Але якщо SBOM настільки корисні, чому ніхто не знає, що з ними робити?
Розуміння того, з чим працювати
Сучасні програми використовують тисячі сторонніх компонентів, здебільшого, але не повністю, з відкритим вихідним кодом (OSS, Open Source Software), і дуже важливо відстежувати їх. Ось чому, в теорії, SBOM є дуже корисними. Вимога SBOM здавалася настільки вдалою, що як державні установи, так і замовники почали наполягати на тому, щоб кожен мав їх у себе. Вам SBOM, й вам SBOM, всім SBOM!
Однак, як тільки всі почали отримувати SBOM, виникла нова проблема: що з ними робити? Хоча SBOM є важливими, простий список усіх компонентів у коді є неповною інформацією, яка не дає змоги діяти.
Для того, щоб зробити SBOM дійсно корисними, фахівці з безпеки потребували чогось іншого. Чогось, що контекстуалізувало б масу знахідок в SBOM, щоб допомогти їм зрозуміти, що дійсно викликає занепокоєння, а що є просто хибною тривогою. Як одного разу сказав Френк Костанза: «Має бути інший шлях!» (з англ. “There had to be another way!”).
Оптимізація управління ризиками
На щастя, є ще один спосіб – VEX (Vulnerability Exploitability eXchange, обмін вразливостями). VEX – це платформа для обміну інформацією про можливість використання відомих вразливостей в контексті того, де і як вони використовуються.
Розробник VEX визначає вразливості як:
- Експлуатована – це означає, що вразливість може бути використана зловмисниками у поточній реалізації та потребує якнайшвидшого виправлення. Це те, на чому потрібно зосередити увагу.
- Не експлуатована – хоча вразливість існує теоретично, такі фактори, як конфігурація додатка, означають, що зловмисники не можуть отримати до неї доступ, що робить її нешкідливою.
- Виправлена – вразливість існувала, але для неї вже було застосовано виправлення або патч.
- Досліджується – ця позначка означає, що потрібен подальший аналіз, щоб визначити, наскільки ця вразливість може бути використана. Після розгляду потенційно експлуатованих вразливостей, варто звернути увагу на наступні.
З VEX, замість того, щоб просто мати дані SBOM про залежності програмного забезпечення, користувач також отримує інформацію про конкретні вразливості в коді, який він використовує, і про те, чи потрібно їх виправляти. Це економить його час і години розробки, які були б витрачені на відстеження помилкових спрацьовувань і визначення пріоритетності найбільших ризиків, що в цілому забезпечує набагато більшу цінність для SBOM.
Примітки щодо виконаних або запланованих дій також можуть бути включені до VEX.
Крім того, документи у форматі VEX є машинозчитуваними (CycloneDX або SPDX), що дозволяє інтегрувати їх в інструменти управління активами. Це забезпечує більшу автоматизацію управління ризиками, що знову ж таки економить час і, зрештою, гроші.
VEX також містить прикладні дані про те, наскільки серйозною є вразливість, чи існують способи її усунення та, чи потрібні виправлення. Інформація, надана VEX, дозволяє командам безпеки визначити, наскільки безпечним є програмне забезпечення постачальника, чого неможливо дізнатися лише зі SBOM.
Трансформація SBOM за допомогою VEX
Наявність методу для системного опису та обміну даними про вразливості між організаціями вирішує деякі з найбільших проблем для інженерів безпеки. Якщо дані VEX вказують на те, що вразливість не може бути використана, оскільки кінцеві користувачі не мають доступу до відповідної функції, це економить час на пошук цієї інформації та усунення того, що не потребує негайного вирішення.
Скажімо, хтось сканує свої системи та виявляє 40 вразливостей у ланцюжку постачання програмного забезпечення. Без VEX можна було б витратити дні на усунення всіх цих вразливостей. Однак, маючи дані VEX, видно, що 10 вразливостей не можна використати, 20 з них мають низький рівень небезпеки й можуть бути виправлені пізніше, а 10 є критичними та можуть бути використані. Тепер можна визначити пріоритетність найсерйозніших вразливостей, запланувати виправлення вразливостей з меншим ризиком на більш пізній термін і проігнорувати ті, які не можна використати. Таким чином, завдяки VEX заощаджується багато часу і оптимізуються робочі процеси.
Впровадження SBOM є важливим кроком на шляху до сучасної безпеки програмного забезпечення, але без правильного контексту вони залишаються неповноцінними. VEX – це ключ до перетворення SBOM на дієві, глибокі інструменти. Надаючи важливі дані про можливість експлуатації, VEX дозволяє організаціям ефективно розподіляти ресурси, зменшити кількість хибних спрацьовувань і зосередитися на усуненні реальних загроз, заощаджуючи час, гроші та гарантуючи більш швидке і безпечне розгортання програмного забезпечення.
У Mend.io є експорт SBOM, збагачений даними VEX, що дозволяє клієнтам перетворити свої SBOM на ефективні інструменти управління ризиками.
