Einhaltung der NSA SBOM-Empfehlungen
15.12.2023
Interlynk
Die National Security Agency (NSA) hat ihre u0002dEmpfehlungen zur Verwaltung von Software-Bestandsverzeichnissen (SBOM)u0002d herausgegeben.
Das Dokument empfiehlt, SBOM zur Entscheidungsfindung in Risiko-Management, Sicherheitsmanagement und Vorfallmanagement zu nutzen und skizziert die Fähigkeiten eines idealen SBOM-Managementsystems, um diese Ziele zu erreichen.
Die Interlynk-Plattform wurde unter Beru0000FCcksichtigung dieser Anwendungsfu0000lle entwickelt und ist damit eine umfassende Lu0000sung fu0000r alle empfohlenen Funktionen.
Hintergrund
Die National Security Agency (NSA) hat das Cybersecurity Information Sheet (CSI) mit dem Titel „Empfehlungen für das Management von Software-Bill of Materials (SBOM)“ veröffentlicht.
Dieses CSI bietet Netzwerkbesitzern und Betreibern eine Anleitung zur Integration der Nutzung von SBOM, um die Cybersicherheit in der Lieferkette zu schützen, mit einem Fokus auf und zusätzlichen Hinweisen für nationale Sicherheitssysteme (NSS).
Dieses Dokument wurde im Rahmen einer Initiative zum Management von Cybersecurity-Lieferkettenrisiken (C-SCRM) entwickelt, indem verschiedene SBOM-Tools bewertet wurden. Daher repräsentiert es die besten Fähigkeiten von SBOM-Tools.
Empfohlene SBOM-Funktionen
✅ = In die Interlynk-Plattform integriert
SBOM Eingabe & Ausgabe
SBOM Eingabe
Empfohlene Funktionen
✅ CycloneDX 1.4 oder neuer, SPDX 2.1 oder neuer
✅ JSON-, XML- und CSV-Import
✅ SBOM-Struktur- und Syntaxprüfungen
✅ Benutzer über die Einhaltung der relevanten Struktur und Syntax des SBOM informieren
✅ Eine Auto-Korrektur-Option einfügen, um den Benutzer zu unterstützen
Interlynk-Fähigkeiten
Interlynk unterstützt CycloneDX 1.4 oder neuere, SPDX 2.1 oder neuere Dateien im JSON-, XML-, RDF- und Tag-Value-Format sowie CSV-Import. Die Plattform identifiziert die häufigsten Fehler im enthaltenen SBOM, erstellt ihre Qualitätsbewertung, legt alle Ergebnisse den Benutzern vor und ermöglicht es ihnen, den Import zu steuern. Der Prozess kann für zukünftige SBOM-Imports vom selben Anbieter oder der gleichen Pipeline automatisiert werden.
SBOM Ausgabe
Empfohlene Funktionen
✅ SBOMs im CDX- oder SPDX-Format exportieren
✅ SBOMs als JSON- oder XML-Dateien exportieren
✅ Einen SBOM-Dateityp in einen anderen umwandeln
✅ Eine SBOM-Datei in eine andere umwandeln
✅ Mehrere SBOMs zu einem SBOM zusammenfassen
Interlynk-Fähigkeiten
Interlynk kann CycloneDX- und SPDX-SBOMs interoperabel nutzen und sie in JSON und XML mit oder ohne Schwachstellendaten exportieren. Die SBOM von Anbietern kann mit den SBOM-Assembly-Funktionen verknüpft oder in ein Produkt-SBOM umgewandelt werden.
SBOM-Erstellung & Komponentenverwaltung
Generierung von SBOMs
Empfohlene Funktionen
✅ SBOMs aus verschiedenen Typen von Ausgaben des Softwareentwicklungsprozesses generieren (zum Beispiel aus einer Software-Bauumgebung, aus der Analyse einer Binärdatei, aus einer Systemregistrierungsabfrage usw.).
Interlynk-Fähigkeiten
Interlynk kann SBOMs aus allen modernen CI/CD-Pipelines und SBOM-Speicherorten aus SBOM-Anfragen, die über die Plattform oder durch direkten Import gesendet werden, bereitstellen. Interlynk hat auch die Fähigkeit entwickelt, SBOMs von Grund auf für eine Vielzahl von Build-Systemen zu erstellen, einschließlich älterer C/C++-Builds ohne Paketmanager.
Verwaltung von SBOM-Komponenten
Empfohlene Funktionen
✅ NTIA-minimale SBOM-Felder (Lieferantenname, Komponentenname, eindeutiger Komponentenidentifikator (CPE, PURL) / Hash, Komponentenversion, Abhängigkeitsbeziehung der Komponenten, Komponentenautor) für jede Komponente anzeigen.
✅ SBOM-Informationen mit zusätzlichen Referenzquellen anreichern. Idealerweise sollte es visuelle Hinweise geben, um anzuzeigen, dass externe Informationen verwendet wurden, um die SBOM-Daten zu bereichern, und Referenzquellen der Anreicherungsdaten angeben.
✅ Mechanismen zur grafischen Darstellung von Komponentenabhängigkeiten einfügen.
✅ Informationen zur Herkunft der Komponenten anzeigen, einschließlich externer Anreicherungen.
Interlynk-Fähigkeiten
Interlynk identifiziert und ermöglicht die Bearbeitung aller NTIA-minimalen SBOM-Felder, einschließlich der Beziehungen zwischen den Komponenten. Die Plattform erkennt häufige Fehler bei der Produktbenennung und -identifizierung und bringt zusätzliche Metadaten aus öffentlich verfügbaren Quellen mit, um Lösungen vorzuschlagen.
Validierung & Schwachstellenverfolgung
Validierung der SBOM und Integrität der SBOM-Komponenten
Empfohlene Funktionen
✅ Erfassung und Anzeige von Hash-Informationen für jede Komponente. Idealerweise sollte diese Validierung eine digitale Unterschrift für die SBOM und Provenienzinformationen für jede Komponente sowie den Komponent Hash und einen PURL oder CPE-Hinweis bereitstellen.
✅ Links zu Informationsquellen einfügen, aus denen die Herkunftsdaten gesammelt wurden (unterstützt die Möglichkeit, die Integrität zu überprüfen und Risiken zu bewerten).
Interlynk-Funktionen
Interlynk erstellt ein Repository von Hashes für gängige öffentlich verfügbare Komponenten und kennzeichnet SBOM mit „verifiziert“ oder „nicht verifiziert“ Komponenten. Interlynk ermöglicht auch die Möglichkeit, eine ausgehende SBOM kryptografisch zu signieren oder die Überprüfung der Unterschrift für eine eingehende SBOM zuzulassen.
Verwaltung und Analyse von Schwachstellen
Empfohlene Funktionen
✅ Tägliche Aktualisierungen aus der National Vulnerability Database (NVD) und anderen Schwachgellendaten bereitstellen. Idealerweise sollten diese Updates kontinuierliche Extraktionen und Analysen von zugehörigen Cyber-Bedrohungsinformationen (CTI) und SBOM-Datenverbesserungsdiensten bereitstellen.
✅ Benutzer über neue Schwachstellen und Updates benachrichtigen, einschließlich Warnungen vor neu auftretenden kritischen Schwachstellen und deren Schweregrad. Idealerweise sollten diese Benachrichtigungen klar zwischen einer neuen Schwachstelle und einem Update zu einer bestehenden Schwachstelle unterscheiden und zusätzliche Informationen bereitstellen, um Reaktionen auf Schwachstellen sowie Risikominderungsleitfäden zu priorisieren.
👨🏽💻 Verschiedene Quellen von Bedrohungsinformationen integrieren, zusätzlich zu den verschiedenen Datenbanken für Software-Schwachstellen/-schwächen.
👨🏽💻 Eine flexible Richtlinien-Engine bereitstellen, einschließlich der Möglichkeit, organisationsspezifische Richtlinienregeln anzuwenden und zu aktualisieren. Idealerweise sollte diese Anpassung die Integration von Bedrohungsinformationen als Richtlinienregeln ermöglichen.
✅ Mehrere Möglichkeiten bieten, um das Vorhandensein einer neu auftretenden Schwachstelle im SBOM-Repository/Asset-Inventar des Benutzers zu identifizieren und zu untersuchen. Idealerweise sollte es spezifische Netzwerke oder Endpunkte, die die betroffene Software und Konfigurationen enthalten, schnell identifizieren.
✅ Die rechtzeitige Behebung von Schwachstellen unterstützen und verfolgen (einschließlich Konfigurationsmanagement/Nachverfolgbarkeit zu einer neuen SBOM, um die verwundbare, ersetzte Software von der behobenen/härteten Ersatzsoftware zu unterscheiden).
Interlynk-Funktionen
Das Schwachstellenmanagementsystem von Interlynk in SBOMs basiert auf kontinuierlich aktualisierten Daten aus mehreren Quellen, einschließlich NVD und KEV. Ein Zustandwechsel bei SBOM-Schwachstellen kann für anpassbare Benachrichtigungen mit mehreren Integrationen verwendet werden - E-Mail, Slack, JIRA und mehr. Interlynk entwickelt eine Richtlinien-Engine, um spezifische Richtlinien für die Softwareentwicklung oder Beschaffungsanforderungen aus der rechtlichen und sicherheitsrelevanten Risikoanalyse festzulegen. Die Schwachstellen können auf statische oder bereitgestellte Assets zurückgeführt werden, was eine nahezu Echtzeitbenachrichtigung ermöglicht, wenn sie von einer neu veröffentlichten Schwachstelle betroffen sind. Die Schwachstellendaten, zusammen mit den Softwaremetadaten, ermöglichen die Verfolgung von Kennzahlen, die für verschiedene Compliance-Anforderungen geeignet sind, einschließlich FDA.
Unterscheidung zwischen identifizierten und ausnutzbaren Schwachstellen
Empfohlene Funktionen
Geben Sie an, ob eine Schwachstelle tatsächlich ausnutzbar ist, und unterstützen Sie begleitende Beweise und die Begründung für nicht ausnutzbare Ansprüche. Idealerweise sollte es Informationen über die Ausnutzbarkeit einer Komponentenschwachstelle im Format des Vulnerability Exploitability eXchange (VEX) annotieren und aktualisieren.
Interlynk-Funktionen
Interlynk verfolgt den Zustand jeder Schwachstelle über Produkte und deren Versionen. Der VEX-Status, wie von CISA empfohlen, ist in die Plattform selbst mit CycloneDX- und OpenVEX-Ausgabe integriert. Der VEX wird über Produktversionen hinweg getragen, wenn zutreffend, und kann für externe Überprüfungen als PDF oder CSV exportiert werden.
Benutzerschnittstelle & Berichterstattung
Benutzeroberfläche
Empfohlene Funktionen
✅ Befolgen Sie die Standards der Mensch-Computer-Interaktion (HCI).
Integrieren Sie Barrierefreiheitsfunktionen.
✅ Stellen Sie Mechanismen zur Verfügung, die es einfach machen, die Informationen zu beurteilen, und ermöglichen Sie es dem Benutzer, bei Bedarf einfach weiter zu tauchen (häufig durch Überfahren des Cursors über Symbole oder Klicken auf Symbole mit Links), um die nächste Detailstufe einzusehen.
✅ Stellen Sie leicht verständliche grafische Darstellungsformen und -formate zur Verfügung, um Informationen über Softwarekomponenten, Schwachstellen, Lizenzen, Anbieterorganisationen, Benutzer und Benutzerorganisationen zu vermitteln.
✅ Bieten Sie mehrere Möglichkeiten, um ‘weitergehend’ Informationen über die Herkunft von Softwarekomponenten, Schwachstellen, Lizenzen und Risikostatus zu erhalten.
✅ Stellen Sie Mittel zur Verfügung, um strukturierte Gruppen oder Kategorien von SBOMs zu erstellen, um die Verfolgung von Vermögenswerten, das Schwachstellenmanagement, das Incident Management usw. zu erleichtern.
✅ Bieten Sie die Möglichkeit, SBOM-Informationen nach benutzerwählbaren Attributen (wie zum Beispiel, nach Software/BOM-Typ, Software/BOM-Quelle, Software/BOM PoC; Komponententyp, Komponentenpaket, Komponentenalter, Komponenten-Versionen, Sicherheitstrends; Schwachstellenschwere, Schwachstellenanzahl; und Organisationsebene, Lizenztyp, Verstoß) zu filtern/sortieren/gruppen.
Interlynk-Funktionen
Das minimalistische Dashboard-Design von Interlynk konzentriert sich darauf, die richtigen Informationen zur richtigen Zeit zu erhalten. Die zugrunde liegenden Daten sind in vielen Schichten organisiert, von Komponenten und ihren Quellen bis hin zu Ökosystemen, Produktteilen, Produktversionen und Produktpipelines. Jede Kontextsseite erhält ihr eigenes Set an Such- und Filterfunktionen, und die Benutzeroberfläche konzentriert sich darauf, eine verwundbare Komponente mit allen Produkten und Lieferketten zu verknüpfen, die davon betroffen sind.
Ausgabeformate und -methoden
Empfohlene Funktionen
✅ Standardisierte Berichte über Komponentenattribute, Schwachstelleninformationen, Lizenzinformationen und Lieferanteninformationen über Komponenten ausgeben.
✅ Abhängigkeitsinformationen in grafischer und/oder Textform exportieren.
✅ Grafische Darstellungen der Analyseergebnisse ausgeben.
✅ Idealerweise einen modularen Weg bieten, um spezifischen Text und Grafiken (ob aus dem SBOM selbst oder abgeleitet aus Analyse- und Verbesserungsprozessen) für die Verwendung in externen Kommunikationen zu exportieren.
Interlynk-Funktionen
Die Interlink-Plattform ist als GraphQL-Subscriptions-API mit intuitiven, skalierbaren Schemata aufgebaut, die von jedem Client sofort nutzbar sind. Die Interlynk SBOM-Verarbeitungsmaschine prüft auf wiederkehrende Muster in SBOM über Produktversionen hinweg und ermöglicht die Analyse und „SBOM-Patchen“ nach Bedarf.
Versionierung, Integration & Datenquellen
SBOM-Versionierung und Konfigurationsmanagement-Unterstützung
Empfohlene Funktionen
✅ Einschluss einer skalierbaren Konfigurationsmanagement-Funktion für SBOMs. Minimal sollte es Mechanismen zur Organisation von SBOMs, zur Pflege der Versionsgeschichte und zur Verfolgung von Änderungen an SBOMs/Software beinhalten.
✅ Einschluss benutzerspezifischer Mechanismen zur Organisation von SBOMs nach mehreren Informationsattributen (wie z.B. nach Organisation, Softwarelieferant, Softwaretyp, BOM-Typ, Lizenztyp usw.).
✅ Einschluss eines Trendgrafiks, das die Anzahl der Schwachstellen für jede Schweregradstufe über jede Komponenten-Version zeigt und berichtet, ob die Anzahl der Komponenten-Schwachstellen mit jeder Versionsveröffentlichung zunimmt oder abnimmt.
👨🏽💻 Vergleichen Sie SBOM-Versionen für dieselbe Software und heben Sie Unterschiede hervor (z.B. durch unterschiedliche Komponenten oder unterschiedliche Komponenten-Versionen, unterschiedliche Quellen usw.).
Interlynk-Funktionen
Die Interlink-Plattform ist als GraphQL-Abonnements-API mit intuitiven, skalierbaren Schemata aufgebaut, die von jedem Client sofort genutzt werden können. Die Interlynk-SBOM-Verarbeitungs-Engine überprüft wiederkehrende Muster in SBOMs über Produktversionen und ermöglicht die Analyse und „SBOM-Patching“ nach Bedarf.
Integration und Workflow mit anderen Systemen
Empfohlene Funktionen
✅ Verwenden Sie ein „API-First“-Design, um den Import und Export von Informationen mit anderen Systemen zu erleichtern. Idealerweise sollten Informationselemente innerhalb des Tools einzeln exportierbar/herunterladbar sein.
✅ Integrieren Sie mehrere Arten von SBOM-Quellen und anderen Daten, die zur Analyse kombiniert werden können.
✅ Nutzen Sie formatunabhängige, unabhängige, zustandslose und skalierbare API-Funktionen (wie z.B. REST), um Prozesse/Workflows zu automatisieren.
✅ Unterstützen Sie ein sicheres, integriertes Producer/Consumer-Austausch-Ökosystem.
Interlynk-Funktionen
Die Interlink-Plattform ist als GraphQL-Abonnements-API mit intuitiven, skalierbaren Schemata aufgebaut, die von jedem Client sofort genutzt werden können. Die Interlynk-SBOM-Verarbeitungs-Engine überprüft wiederkehrende Muster in SBOMs über Produktversionen und ermöglicht die Analyse und „SBOM-Patching“ nach Bedarf.
Unterstützender Zugriff auf Datenquellen
Empfohlene Funktionen
👨🏽💻 Integrieren Sie KI/ML-Engines und zugehörige „Datenmengen“, die Informationen zu SBOM-Komponenten gegen verschiedene Arten von Bedrohungssignaturen und Mustern analysieren.
✅ Einschluss einer aktualisierbaren Bibliothek von Open-Source-Softwarelizenzen, die das SBOM-Management-Tool identifiziert und verfolgt, wo immer dies zutreffend ist.
Interlynk-Funktionen
Die Plattform erstellt eine Bibliothek von Open-Source-Lizenzen und kommerziellen Lizenzen, die in Gebrauch sind, und trennt sie in aktive und inaktive Gruppen, während sich das Software-EOL nähert. Die Plattform untersucht den Einsatz einer ML-Engine zur Schwachstellenabgleichung.
Architektur, Einrichtung & Abschließende Hinweise
Skalierbare Architektur
Empfohlene Funktionen
✅ Mechanismen einbeziehen, um verschiedene Unterorganisationen innerhalb eines Unternehmens zu unterstützen, die möglicherweise unterschiedliche Risikotoleranzregeln oder -richtlinien haben.
Andere Arten von Stücklisten (BOMs) verwalten.
✅ Teil einer Suite von Tools sein oder diese unterstützen, die gemeinsam dazu dienen, Risiko Management, Schwachstellen Management und Vorfall Management Aktivitäten durchzuführen.
Interlynk-Funktionen
Interlynk ist mit dem Fokus auf multi-unit Unternehmen konzipiert und unterstützt RBAC, Produktgruppen und die Trennung von Richtlinien und Kontrollen nach Produktgruppen. Die Plattform wurde API-zuerst entwickelt und hat mehrere Integrationen auf ihrer Roadmap.
SBOM-Tool-Einrichtung und -Konfiguration
Empfohlene Funktionen
✅ Mechanismen und unterstützende Materialien bereitstellen, um die einfache Download, Einrichtung und Integration in Linux- oder Microsoft-Umgebungen zu ermöglichen. Idealerweise sollte es beide Umgebungen unterstützen.
Interlynk-Funktionen
Interlynk ist als Software-as-a-Service-Plattform mit einer containerisierten On-Premise-Lösung auf der Roadmap verfügbar.
INHALTSTABELLE