Entendiendo la Importancia de los SBOMs en el Desarrollo de Software
Los SBOM son clave para rastrear componentes de software y mejorar la seguridad.
― 5 minilectura
Tabla de contenidos
Los Software Bills of Materials (SBOMs) son herramientas importantes para gestionar software. Ayudan a rastrear los componentes del software, sus licencias y cualquier vulnerabilidad. Con el auge del software de código abierto, la cadena de suministro de software se ha vuelto más compleja. Los desarrolladores ahora pueden usar varios paquetes y bibliotecas para construir sus productos. Sin embargo, esto conlleva riesgos, especialmente si un paquete tiene problemas de seguridad. Un SBOM actúa como una lista detallada de todas las partes que componen una aplicación de software, mostrando qué se usó para crearlo.
El Auge de los SBOMs
En los últimos años, se ha prestado más atención a los SBOMs. El gobierno de EE. UU., por ejemplo, ha hecho que sea un requisito que el software que se les venda incluya un SBOM. Este movimiento fue influenciado por varias brechas de seguridad que destacaron la necesidad de una mejor supervisión y transparencia en las cadenas de suministro de software. Organizaciones como la Fundación Linux y OWASP también han estado promoviendo los SBOMs para mejorar la seguridad del software.
A pesar del creciente interés, muchas organizaciones no han adoptado completamente los SBOMs. La investigación muestra que, aunque se reconocen los beneficios, los desafíos prácticos aún impiden su uso generalizado. Estos desafíos incluyen herramientas limitadas para crear SBOMs y la falta de un acuerdo en toda la industria sobre qué información debería incluirse.
El Estudio de los Desafíos de SBOM
Para entender mejor los desafíos que enfrentan diferentes partes interesadas en lo que respecta a los SBOMs, se llevó a cabo un estudio que involucró encuestas y entrevistas a desarrolladores de software y expertos. El objetivo era descubrir los obstáculos específicos que encuentran y recopilar información sobre cómo superarlos.
¿Quiénes Fueron Encuestados?
El estudio encuestó a 138 personas de cinco grupos diferentes:
- Practicantes familiarizados con los SBOMs
- Miembros de proyectos clave de código abierto
- Expertos en inteligencia artificial y aprendizaje automático
- Especialistas en sistemas ciberfísicos
- Profesionales legales
Estos grupos fueron elegidos para resaltar diferentes necesidades y perspectivas sobre los SBOMs. Además, las entrevistas con ocho participantes ayudaron a obtener información más rica sobre sus experiencias y puntos de vista.
Desafíos Clave Identificados
De la investigación, se identificaron doce desafíos significativos, como:
- Complejidad del Contenido: La información incluida en los SBOMs puede ser abrumadora, especialmente para aquellos que solo necesitan detalles específicos.
- Limitaciones de Herramientas: Muchas herramientas existentes no soportan completamente la creación o mantenimiento de SBOMs, lo que dificulta su adopción por los desarrolladores.
- Mantener los SBOMs Actualizados: A medida que el software cambia, los SBOMs también deben actualizarse, lo que a menudo no ocurre de manera efectiva.
- Problemas Específicos del Dominio: Diferentes áreas del desarrollo de software pueden tener requisitos únicos que actualmente no se abordan.
- Cumplimiento de Licencias: Asegurar que todos los componentes cumplan con sus respectivas licencias puede ser complicado.
- Seguimiento de Vulnerabilidades: Mantener un seguimiento de las vulnerabilidades de seguridad a través de varios componentes es un problema persistente.
Soluciones Propuestas
A la luz de estos desafíos, el estudio también exploró posibles soluciones:
- Simplificar las Especificaciones: Desglosar los requisitos del SBOM basados en casos de uso específicos podría ayudar a agilizar el proceso.
- Mejorar las Herramientas: Herramientas más avanzadas y amigables adaptadas a diferentes lenguajes de programación pueden mejorar la creación de SBOMs.
- Recursos Centralizados: Crear repositorios centralizados donde los desarrolladores puedan encontrar las herramientas adecuadas y apoyo para la generación de SBOMs podría aumentar su adopción.
Los Beneficios de los SBOMs
A pesar de los desafíos, los beneficios de los SBOMs son claros. Ofrecen varias ventajas que pueden mejorar el desarrollo de software, incluyendo:
- Visibilidad: Tener un esquema claro de todos los componentes en un producto de software ayuda a entender su estructura y dependencias.
- Gestión de Licencias: Los SBOMs pueden facilitar el cumplimiento de los requisitos de licencia, reduciendo riesgos legales.
- Mejoras en Seguridad: Al rastrear vulnerabilidades a través de los SBOMs, las organizaciones pueden abordar rápidamente los problemas de seguridad antes de que afecten a los clientes.
- Fomento de la Confianza: Con cadenas de suministro transparentes, los usuarios pueden tener más confianza en el software que utilizan.
Conclusión
A medida que el software continúa evolucionando, la importancia de los SBOMs solo crecerá. Aunque hay desafíos notables en su adopción y uso, entender estos problemas sienta las bases para avances que pueden hacer que los SBOMs sean más efectivos y amigables. A través de la colaboración entre industrias y el desarrollo continuo de mejores herramientas y estándares, el potencial de los SBOMs para mejorar la seguridad y fiabilidad del software puede realizarse por completo.
Título: BOMs Away! Inside the Minds of Stakeholders: A Comprehensive Study of Bills of Materials for Software Systems
Resumen: Software Bills of Materials (SBOMs) have emerged as tools to facilitate the management of software dependencies, vulnerabilities, licenses, and the supply chain. While significant effort has been devoted to increasing SBOM awareness and developing SBOM formats and tools, recent studies have shown that SBOMs are still an early technology not yet adequately adopted in practice. Expanding on previous research, this paper reports a comprehensive study that investigates the current challenges stakeholders encounter when creating and using SBOMs. The study surveyed 138 practitioners belonging to five stakeholder groups (practitioners familiar with SBOMs, members of critical open source projects, AI/ML, cyber-physical systems, and legal practitioners) using differentiated questionnaires, and interviewed 8 survey respondents to gather further insights about their experience. We identified 12 major challenges facing the creation and use of SBOMs, including those related to the SBOM content, deficiencies in SBOM tools, SBOM maintenance and verification, and domain-specific challenges. We propose and discuss 4 actionable solutions to the identified challenges and present the major avenues for future research and development.
Autores: Trevor Stalnaker, Nathan Wintersgill, Oscar Chaparro, Massimiliano Di Penta, Daniel M German, Denys Poshyvanyk
Última actualización: 2023-09-22 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2309.12206
Fuente PDF: https://arxiv.org/pdf/2309.12206
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://docs.google.com/spreadsheets/d/1uA0NbZs4Acq5thibCLXyoBFBG92pgYfUaQPfKM6idd0/edit
- https://docs.google.com/document/d/1U9ADP4W4omBIH4pN
- https://wiki.spdx.org/view/Technical_Team/Use_Cases/2.0
- https://tinyurl.com/25r3rpcn
- https://www.overleaf.com/project/63d7ea8ea229efadf2a17d3a
- https://cyclonedx.org/about/history/
- https://www.iana.org/assignments/uri-schemes/prov/gitoid
- https://lists.openchainproject.org/g/main
- https://owasp.org/
- https://www.softwareheritage.org/
- https://spdx.dev/about/
- https://www.linuxfoundation.org/
- https://csrc.nist.gov/projects/cyber-supply-chain-risk-management
- https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
- https://www.redhat.com/en/topics/security/what-is-cve
- https://spdx.github.io/spdx-spec/v2.3/external-repository-identifiers/
- https://csrc.nist.gov/Projects/Security-Content-Automation-Protocol/Specifications/cpe
- https://docs.github.com/en/rest?apiVersion=2022-11-28
- https://docs.anchore.com/current/docs/sbom_management/sbom_drift/
- https://github.com/CycloneDX/specification
- https://github.blog/2023-03-28-introducing-self-service-sboms/
- https://www.itic.org/
- https://github.com/package-url/purl-spec
- https://spdx.dev/specifications/
- https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph
- https://anchore.com/platform/
- https://anonymous.4open.science/r/boms_away_study-2133/
- https://creativecommons.org/publicdomain/zero/1.0/
- https://dvc.org/
- https://opensource.org/license/mit/
- https://mlflow.org/
- https://www.qualtrics.com/
- https://www.nexb.com/scancode/
- https://spdx.org/rdf/spdx-terms-v2.1/objectproperties/dataLicense___1140128580.html
- https://lists.spdx.org/g/spdx
- https://uefi.org/sites/default/files/resources/Traceable
- https://euhubs4data.eu/blog/securing-iot-device-with-fboms/
- https://billbensing.com/software-supply-chain/history-software-bill-of-material-sbom/
- https://minddata.org/bill-of-artificial-intelligence-materials-boaim-Brian-Ka-Chan-AI
- https://www.bleepingcomputer.com/news/security/ten-malicious-libraries-found-on-pypi-python-package-index/
- https://cloudsecurityalliance.org/artifacts/saas-governance-best-practices-for-cloud-customers/
- https://github.com/CycloneDX/bom-examples/tree/master/HBOM
- https://github.com/CycloneDX/bom-examples/tree/master/OBOM
- https://github.com/CycloneDX/bom-examples/tree/master/SaaSBOM
- https://cyclonedx.org/capabilities/
- https://doi.org/10.1145/1806799.1806824
- https://thestack.technology/firmware-attacks-focus/
- https://doi.org/10.1109/MSEC.2022.3142338
- https://huggingface.co/docs/hub/datasets-cards
- https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
- https://www.guardrails.io/blog/what-is-a-software-bill-of-materials-and-why-is-it-important-for-security/
- https://www.ietf.org/archive/id/draft-ietf-sacm-coswid-19.html
- https://www.iso.org/standard/81870.html
- https://www.iso.org/standard/65666.html
- https://cds.cern.ch/record/2778929/files/Laman_Jalilova_CERN_Report.pdf
- https://www.eetimes.com/quantifying-complexity-the-challenges-of-supply-chain-security/
- https://www.reversinglabs.com/blog/5-reasons-why-you-need-a-saasbom
- https://thenewstack.io/fast-and-furious-doubling-down-on-sbom-drift/
- https://thehackernews.com/2022/11/researchers-uncover-29-malicious-pypi.html
- https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html
- https://thehackernews.com/2022/09/malicious-npm-package-caught-mimicking.html
- https://thehackernews.com/2022/06/multiple-backdoored-python-libraries.html
- https://thehackernews.com/2022/11/researchers-uncover-pypi-package-hiding.html
- https://hbr.org/1975/09/behind-the-growth-in-materials-requirements-planning
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- https://ntia.gov/files/ntia/publications/framingsbom_20191112.pdf
- https://ntia.gov/files/ntia/publications/ntia_sbom_use_cases_roles_benefits-nov2019.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_at_a_glance_apr2021.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_myths_vs_facts_nov2021.pdf
- https://ntia.gov/files/ntia/publications/ntia_sbom_tooling_taxonomy-2021mar30.pdf
- https://www.ntia.gov/files/ntia/publications/ntia_sbom_sharing_exchanging_sboms-10feb2021.pdf
- https://ntia.gov/sites/default/files/publications/uscc_-_2021.06.17_0.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_formats_survey-version-2021.pdf
- https://openai.com/blog/chatgpt
- https://docs.google.com/spreadsheets/d/1ONZ4qeMq8xmeCHX03lIgIYE4MEXVfVL6oj05lbuXTDM/edit
- https://cds.cern.ch/record/2826626/files/Report-PRATOUSSY_Martin.pdf
- https://www.rezilion.com/blog/dynamic-sbom-a-comprehensive-guide/
- https://www.securityweek.com/big-tech-vendors-object-us-gov-sbom-mandate/
- https://www.leanix.net/en/blog/sboms-matter
- https://tinyurl.com/yvsfdxd9
- https://doi.org/10.1145/3180155.3180209
- https://techpost.bsa.org/2022/08/31/sboms-considerable-progress-but-not-yet-ready-for-codification/