Capire l'importanza degli SBOM nella sviluppo software
Gli SBOM sono fondamentali per tenere traccia dei componenti software e migliorare la sicurezza.
― 4 leggere min
Indice
I Software Bills of Materials (SBOM) sono strumenti importanti per gestire il software. Aiutano a tenere traccia dei componenti software, delle loro licenze e di eventuali vulnerabilità. Con l’aumento del software open-source, la catena di approvvigionamento del software è diventata più complessa. Gli sviluppatori possono ora usare vari pacchetti e librerie per costruire i loro prodotti. Però, questo porta anche dei rischi, soprattutto se un pacchetto ha problemi di sicurezza. Un SBOM funge da elenco dettagliato di tutte le parti che compongono un'applicazione software, mostrando cosa è stato usato per crearlo.
L'Aumento degli SBOM
Negli ultimi anni, c’è stata più attenzione verso gli SBOM. Il governo degli Stati Uniti, per esempio, ha reso obbligatorio per i software venduti a loro includere un SBOM. Questa mossa è stata influenzata da vari problemi di sicurezza che hanno evidenziato la necessità di una migliore supervisione e trasparenza nelle catene di approvvigionamento del software. Organizzazioni come la Linux Foundation e OWASP hanno anche promosso gli SBOM per migliorare la sicurezza del software.
Nonostante l’interesse crescente, molte organizzazioni non hanno ancora adottato completamente gli SBOM. Le ricerche mostrano che, anche se i benefici sono riconosciuti, le sfide pratiche impediscono ancora un uso diffuso. Queste sfide includono strumenti limitati per creare SBOM e nessun accordo a livello di settore su quali informazioni debbano essere incluse.
Lo Studio delle Sfide degli SBOM
Per capire meglio le sfide affrontate dai vari stakeholder riguardo agli SBOM, è stato condotto uno studio che ha coinvolto sondaggi e interviste con sviluppatori di software ed esperti. L’obiettivo era scoprire i blocchi specifici che incontrano e raccogliere spunti su come superare questi ostacoli.
Chi è Stato Intervistato?
Lo studio ha sondato 138 persone appartenenti a cinque gruppi diversi:
- Professionisti familiari con gli SBOM
- Membri di progetti open-source chiave
- Esperti in intelligenza artificiale e machine learning
- Specialistici in sistemi ciber-fisici
- Professionisti legali
Questi gruppi sono stati scelti per evidenziare diverse esigenze e prospettive riguardo agli SBOM. Inoltre, interviste con otto partecipanti hanno aiutato a raccogliere spunti più ricchi sulle loro esperienze e punti di vista.
Sfide Chiave Identificate
Dalla ricerca, sono emerse dodici sfide significative, come:
- Complessità dei Contenuti: Le informazioni incluse negli SBOM possono essere travolgenti, soprattutto per chi ha bisogno solo di dettagli specifici.
- Limitazioni degli Strumenti: Molti strumenti esistenti non supportano completamente la creazione o la manutenzione degli SBOM, rendendo difficile per gli sviluppatori adottarli.
- Aggiornamento degli SBOM: Con il cambiamento del software, anche gli SBOM devono essere aggiornati, il che spesso non avviene in modo efficace.
- Questioni Specifiche di Dominio: Diverse aree dello sviluppo software possono avere requisiti unici che attualmente non vengono affrontati.
- Conformità alle Licenze: Assicurarsi che tutti i componenti rispettino le loro rispettive licenze può essere complicato.
- Tracciamento delle Vulnerabilità: Tenere traccia delle vulnerabilità di sicurezza tra i vari componenti è un problema persistente.
Soluzioni Proposte
In light di queste sfide, lo studio ha anche esplorato possibili soluzioni:
- Semplificare le Specifiche: Suddividere i requisiti degli SBOM in base a casi d’uso specifici potrebbe aiutare a semplificare il processo.
- Migliorare gli Strumenti: Strumenti più avanzati e user-friendly, adattati a diversi linguaggi di programmazione, possono migliorare la creazione degli SBOM.
- Risorse Centralizzate: Creare repository centralizzati dove gli sviluppatori possono trovare gli strumenti e il supporto giusti per la generazione degli SBOM potrebbe aumentare l’adozione.
I Benefici degli SBOM
Nonostante le sfide, i benefici degli SBOM sono chiari. Offrono vari vantaggi che possono migliorare lo sviluppo del software, tra cui:
- Visibilità: Avere un quadro chiaro di tutti i componenti in un prodotto software aiuta a comprendere la sua struttura e le sue dipendenze.
- Gestione delle Licenze: Gli SBOM possono facilitare la conformità ai requisiti di licenza, riducendo i rischi legali.
- Miglioramenti della Sicurezza: Tracciando le vulnerabilità attraverso gli SBOM, le organizzazioni possono affrontare rapidamente i problemi di sicurezza prima che influenzino i clienti.
- Costruire Fiducia: Con catene di approvvigionamento trasparenti, gli utenti possono avere più fiducia nel software che usano.
Conclusione
Con l’evoluzione del software, l’importanza degli SBOM crescerà sempre di più. Anche se ci sono sfide notevoli nella loro adozione e uso, comprendere queste problematiche getta le basi per avanzamenti che possono rendere gli SBOM più efficaci e user-friendly. Attraverso la collaborazione tra i settori e lo sviluppo continuo di strumenti e standard migliori, il potenziale degli SBOM per migliorare la sicurezza e l’affidabilità del software può essere pienamente realizzato.
Titolo: BOMs Away! Inside the Minds of Stakeholders: A Comprehensive Study of Bills of Materials for Software Systems
Estratto: Software Bills of Materials (SBOMs) have emerged as tools to facilitate the management of software dependencies, vulnerabilities, licenses, and the supply chain. While significant effort has been devoted to increasing SBOM awareness and developing SBOM formats and tools, recent studies have shown that SBOMs are still an early technology not yet adequately adopted in practice. Expanding on previous research, this paper reports a comprehensive study that investigates the current challenges stakeholders encounter when creating and using SBOMs. The study surveyed 138 practitioners belonging to five stakeholder groups (practitioners familiar with SBOMs, members of critical open source projects, AI/ML, cyber-physical systems, and legal practitioners) using differentiated questionnaires, and interviewed 8 survey respondents to gather further insights about their experience. We identified 12 major challenges facing the creation and use of SBOMs, including those related to the SBOM content, deficiencies in SBOM tools, SBOM maintenance and verification, and domain-specific challenges. We propose and discuss 4 actionable solutions to the identified challenges and present the major avenues for future research and development.
Autori: Trevor Stalnaker, Nathan Wintersgill, Oscar Chaparro, Massimiliano Di Penta, Daniel M German, Denys Poshyvanyk
Ultimo aggiornamento: 2023-09-22 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2309.12206
Fonte PDF: https://arxiv.org/pdf/2309.12206
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://docs.google.com/spreadsheets/d/1uA0NbZs4Acq5thibCLXyoBFBG92pgYfUaQPfKM6idd0/edit
- https://docs.google.com/document/d/1U9ADP4W4omBIH4pN
- https://wiki.spdx.org/view/Technical_Team/Use_Cases/2.0
- https://tinyurl.com/25r3rpcn
- https://www.overleaf.com/project/63d7ea8ea229efadf2a17d3a
- https://cyclonedx.org/about/history/
- https://www.iana.org/assignments/uri-schemes/prov/gitoid
- https://lists.openchainproject.org/g/main
- https://owasp.org/
- https://www.softwareheritage.org/
- https://spdx.dev/about/
- https://www.linuxfoundation.org/
- https://csrc.nist.gov/projects/cyber-supply-chain-risk-management
- https://www.nist.gov/itl/executive-order-14028-improving-nations-cybersecurity
- https://www.redhat.com/en/topics/security/what-is-cve
- https://spdx.github.io/spdx-spec/v2.3/external-repository-identifiers/
- https://csrc.nist.gov/Projects/Security-Content-Automation-Protocol/Specifications/cpe
- https://docs.github.com/en/rest?apiVersion=2022-11-28
- https://docs.anchore.com/current/docs/sbom_management/sbom_drift/
- https://github.com/CycloneDX/specification
- https://github.blog/2023-03-28-introducing-self-service-sboms/
- https://www.itic.org/
- https://github.com/package-url/purl-spec
- https://spdx.dev/specifications/
- https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-the-dependency-graph
- https://anchore.com/platform/
- https://anonymous.4open.science/r/boms_away_study-2133/
- https://creativecommons.org/publicdomain/zero/1.0/
- https://dvc.org/
- https://opensource.org/license/mit/
- https://mlflow.org/
- https://www.qualtrics.com/
- https://www.nexb.com/scancode/
- https://spdx.org/rdf/spdx-terms-v2.1/objectproperties/dataLicense___1140128580.html
- https://lists.spdx.org/g/spdx
- https://uefi.org/sites/default/files/resources/Traceable
- https://euhubs4data.eu/blog/securing-iot-device-with-fboms/
- https://billbensing.com/software-supply-chain/history-software-bill-of-material-sbom/
- https://minddata.org/bill-of-artificial-intelligence-materials-boaim-Brian-Ka-Chan-AI
- https://www.bleepingcomputer.com/news/security/ten-malicious-libraries-found-on-pypi-python-package-index/
- https://cloudsecurityalliance.org/artifacts/saas-governance-best-practices-for-cloud-customers/
- https://github.com/CycloneDX/bom-examples/tree/master/HBOM
- https://github.com/CycloneDX/bom-examples/tree/master/OBOM
- https://github.com/CycloneDX/bom-examples/tree/master/SaaSBOM
- https://cyclonedx.org/capabilities/
- https://doi.org/10.1145/1806799.1806824
- https://thestack.technology/firmware-attacks-focus/
- https://doi.org/10.1109/MSEC.2022.3142338
- https://huggingface.co/docs/hub/datasets-cards
- https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html
- https://www.guardrails.io/blog/what-is-a-software-bill-of-materials-and-why-is-it-important-for-security/
- https://www.ietf.org/archive/id/draft-ietf-sacm-coswid-19.html
- https://www.iso.org/standard/81870.html
- https://www.iso.org/standard/65666.html
- https://cds.cern.ch/record/2778929/files/Laman_Jalilova_CERN_Report.pdf
- https://www.eetimes.com/quantifying-complexity-the-challenges-of-supply-chain-security/
- https://www.reversinglabs.com/blog/5-reasons-why-you-need-a-saasbom
- https://thenewstack.io/fast-and-furious-doubling-down-on-sbom-drift/
- https://thehackernews.com/2022/11/researchers-uncover-29-malicious-pypi.html
- https://thehackernews.com/2021/12/extremely-critical-log4j-vulnerability.html
- https://thehackernews.com/2022/09/malicious-npm-package-caught-mimicking.html
- https://thehackernews.com/2022/06/multiple-backdoored-python-libraries.html
- https://thehackernews.com/2022/11/researchers-uncover-pypi-package-hiding.html
- https://hbr.org/1975/09/behind-the-growth-in-materials-requirements-planning
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
- https://ntia.gov/files/ntia/publications/framingsbom_20191112.pdf
- https://ntia.gov/files/ntia/publications/ntia_sbom_use_cases_roles_benefits-nov2019.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_at_a_glance_apr2021.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_myths_vs_facts_nov2021.pdf
- https://ntia.gov/files/ntia/publications/ntia_sbom_tooling_taxonomy-2021mar30.pdf
- https://www.ntia.gov/files/ntia/publications/ntia_sbom_sharing_exchanging_sboms-10feb2021.pdf
- https://ntia.gov/sites/default/files/publications/uscc_-_2021.06.17_0.pdf
- https://www.ntia.gov/files/ntia/publications/sbom_formats_survey-version-2021.pdf
- https://openai.com/blog/chatgpt
- https://docs.google.com/spreadsheets/d/1ONZ4qeMq8xmeCHX03lIgIYE4MEXVfVL6oj05lbuXTDM/edit
- https://cds.cern.ch/record/2826626/files/Report-PRATOUSSY_Martin.pdf
- https://www.rezilion.com/blog/dynamic-sbom-a-comprehensive-guide/
- https://www.securityweek.com/big-tech-vendors-object-us-gov-sbom-mandate/
- https://www.leanix.net/en/blog/sboms-matter
- https://tinyurl.com/yvsfdxd9
- https://doi.org/10.1145/3180155.3180209
- https://techpost.bsa.org/2022/08/31/sboms-considerable-progress-but-not-yet-ready-for-codification/