NÚKIB se připojil k mezinárodnímu dokumentu A Shared Vision of Software Bill of Materials for Cybersecurity

Co to znamená?

Software Bill of Materials (dále jen SBOM) je seznam všech komponent, knihoven a závislostí, které jsou součástí softwaru - něco jako „účtenka” softwaru. Umožňuje přesně vědět, z čeho software vznikl, kdo dodal jednotlivé části a jaké verze se používají. Díky tomu lze rychle identifikovat bezpečností zranitelnosti, efektivně provádět audity a udržovat software bezpečnější a transparentnější.

Připojení NÚKIB k iniciativě SBOM znamená, že český národní úřad pro kybernetickou bezpečnost podporuje mezinárodní standardizaci a transparentnost v dodavatelském řetězci softwaru. Tím dává signál firmám i veřejným institucím, že vytváření a sdílení SBOM je doporučený postup pro zvyšování kybernetické bezpečnosti.

Koho by to mělo zajímat?

Používání SBOM není v tuto chvíli vyžadováno zákonem o kybernetické bezpečnosti, přesto se jedná o přístup, který může přinést významné benefity různým typům organizací:

• Výrobci softwaru - vytvářejí ho pro lepší a automatizované sledování dodavatelských komponent. Získávají tak možnost vybírat si nejvhodnější komponenty a jejich bezpečností týmy mohou efektivněji reagovat na nově objevené zranitelnosti a strategicky nasazovat zmírňující opatření.

• Odběratele softwaru - SBOM jim umožňuje činit informovanější rozhodnutí při pořizování softwaru. Skutečnost, zda dodavatel softwaru SBOM poskytuje, může být již sama o sobě důležitým kritériem při výběru.

• Provozovatelé softwaru - získávají lepší přehled o expozici svých systémů vůči novým rizikům. Mohou lépe určovat priority, které části softwaru je nutné řešit v reakci na nové zranitelnosti

Jak postupovat a jaké jsou dopady?

Výrobci softwaru

Výrobcům je doporučeno začlenit vytváření SBOM do celého životní cyklu vývoje softwaru. Výrobcům je taktéž doporučeno automatizovat proces generování, správy a sdílení SBOM, protože manuální procesy jsou pomalé a neefektivní. Je klíčové, aby si byli vědomi komponent, které používají ve svých produktech a vyžadovali SBOM od svých vlastních dodavatelů. Tím prokazují schopnost rychle reagovat na nově objevená rizika.

SBOM by měl být vytvářen v rámci Secure Software Development Life Cycle (SSDLC) - tedy metodiky, která integruje bezpečnost do všech fází vývoje. Pravidelné generování SBOM už během vývoje, testování i údržby zajišťuje, že výrobce má aktuální a přesný přehled o použitých komponentách a jejich zranitelnostech. SSDLC tak podporuje nejen samotnou tvorbu SBOM, ale i následné řízení rizik.

Implementace SBOM vede ke snížení nákladů spojených s řízením komponent a řešením zranitelností. Umožňuje rychlejší identifikaci rizik a snižuje čas potřebný k reakci na ně. Výrobci, kteří poskytují SBOM a současně uplatňují principy SSDLC, se stávají důvěryhodnějšími partnery a získávají konkurenční výhodu na trhu.

Odběratelé softwaru

Odběratelům je doporučeno využívat SBOM jako klíčové kritérium při nákupu a výběru softwaru. Odběratelům je taktéž doporučeno vyžadovat SBOM od svých dodavatelů již ve fázi uzavírání smluv. To jim umožní činit informovaná rozhodnutí o rizicích, která software do jejich systému přináší. SBOM jim dává přehled o komponentách a závislostech, což je nezbytné pro správu dodavatelského řetězce.

Díky SBOM mohou odběratelé lépe sladit výběr softwaru se svými interními politikami a požadavky na kybernetickou bezpečnost. Mohou efektivněji spravovat rizika dodavatelského řetězce a vyhnout se softwaru s komponentami, které by pro ně představovaly nežádoucí riziko. To vede ke snížení celkové zranitelnosti a k vyšší ochraně systémů.

Provozovatelé softwaru

Je doporučeno využívat SBOM k průběžnému monitorování a řízení rizik. Provozovatelům se taktéž doporučeno data z SBOM integrovat do svých stávajících nástrojů pro správu zranitelností a aktiv, aby mohli automaticky mapovat komponenty s databázemi zranitelností a bezpečnostními hrozbami. V případě objevení nové zranitelnosti jim data umožní rychle určit, zda se jich týká.

SBOM provozovatelům výrazně zkracuje čas potřebný k reakci na zranitelnosti, což je klíčové pro rychlou ochranu systémů. Provozovatelé mohou hrozby, které se týkají jejich systémů, efektivněji třídit a reagovat na ně a šetřit tak zdroje.

Jak může pomoci tým Guardians.cz?

• Analýza používaného softwaru - prověří, jaký software klient používá, identifikuje komponenty a rizikové závislosti

• Zavedení SBOM procesů - pomůže vytvořit interní workflow pro průběžné generování a aktualizaci SBOM u vlastního softwaru

• Požadování SBOM od dodavatelů - poradí, jak komunikovat s externími dodavateli, aby dodávali SBOM a jak kontrolovat jejich bezpečnostní informace

• Bezpečnostní audit a reakce na zranitelnosti - rychlá detekce a reakce na známé zranitelnosti a minimalizace dopadu na provoz

• Integrace principů SSDLC - podporuje klienty při zavádění metodiky SSDLC, bezpečnostní aktivity (analýza rizik, code review, testování, monitoring) jsou součástí každé fáze vývoje softwaru a díky tomu se SBOM stává přirozeným výstupem procesu

• Školení a awareness - školení zaměstnanců v používání SBOM, správě komponent a bezpečnostních praktikách, včetně principů a provádění SSDLC

• Podpora při akvizicích a integracích - ověření SBOM nového softwaru a zajištění bezpečného dodavatelského řetězce