Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

SBOM-документы без привязки к уязвимостям неэффективны, считает Google

16/06/22

BOM

Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) и другие ведомства США активно продвигают так называемую спецификацию программного обеспечения (SBOM) как способ снижения рисков кибербезопасности цепочки поставок для потребителей.

SBOM представляет собой подробный список компонентов, модулей и библиотек, использованных при создании программного продукта, поясняет Securitylab. Однако по мнению специалистов из Google Open Source Security Team, сам по себе SBOM-документ не является эффективным инструментом для оценки рисков, и использовать его нужно только с привязкой к базам известных уязвимостей.

«Объединив эти два источника информации, потребители будут знать не только о том, из чего состоит их ПО, но также о связанных с ним рисках и о том, требуются ли какие-либо меры для их устранения», - считают эксперты.

Аналитики Google рассказали, как им удалось объединить SBOM-документ Kubernetes с Открытой базой уязвимостей (OSV). OSV обеспечивает как стандартизированный формат для сопоставления по нескольким базам данных, в том числе Github Advisory Database (GHSA) и Global Security Database (GSD), так и агрегированные данные из множества экосистем, начиная от Python и Golang и заканчивая Rust.

Для того чтобы командам безопасности было проще оценивать всю картину рисков, специалисты Google рекомендуют создателям SBOM, используя соглашение об именах наподобие Purl URL, включать в документацию ссылки для всех пакетов в цепочке поставок ПО. Такая схема идентификации позволит определяет экосистему и упростит идентификацию пакетов, считают эксперты.

Темы:КибербезопасностьGoogleОтрасльNIST
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...