Se conformer aux recommandations du SBOM de la NSA
Interlynk
L'Agence nationale de sécurité (NSA) a publié ses “Recommandations pour la gestion des Bill of Materials (SBOM) de logiciels”.
Le document recommande d'utiliser le SBOM pour prendre des décisions en matière de Gestion des risques, Gestion des vulnérabilités et Gestion des incidents, et pour atteindre ces objectifs, le document décrit les capacités d'un système de gestion des SBOM idéal.
La plateforme Interlynk a été conçue en tenant compte de ces cas d'utilisation, ce qui en fait un choix complet pour toutes les capacités recommandées.
Contexte
L'Agence de sécurité nationale (NSA) a publié la feuille d'information sur la cybersécurité (CSI) appelée « Recommandations pour la gestion de la liste des matériaux logiciels (SBOM) ».
Cette CSI fournit aux propriétaires et aux opérateurs de réseaux des conseils pour intégrer l'utilisation de SBOM afin d'aider à protéger la chaîne d'approvisionnement en cybersécurité, en mettant l'accent sur et en fournissant des conseils supplémentaires pour les systèmes de sécurité nationale (NSS).
Ce document a été élaboré dans le cadre d'une initiative de gestion des risques de la chaîne d'approvisionnement en cybersécurité (C-SCRM) en évaluant divers outils SBOM. Par conséquent, il représente les meilleures capacités des outils SBOM.
Capacités SBOM recommandées
✅ = Intégré dans la plateforme Interlynk
Entrée et Sortie SBOM
Entrée SBOM
Fonctionnalités recommandées
✅ CycloneDX 1.4 ou plus récent, SPDX 2.1 ou plus récent
✅ Importation JSON, XML et CSV
✅ Vérifications de la structure et de la syntaxe SBOM
✅ Alerter l'utilisateur sur la conformité de la SBOM avec la structure et la syntaxe pertinentes
✅ Inclure une option de correction automatique pour aider l'utilisateur
Capacités d'Interlynk
Interlynk prend en charge les fichiers CycloneDX 1.4 ou plus récents, SPDX 2.1 ou plus récents en importation JSON, XML, RDF et Tag-Value ainsi que CSV. La plateforme identifie les erreurs les plus courantes dans la SBOM incluse, effectue son évaluation de qualité, présente toutes les conclusions aux utilisateurs et leur permet de contrôler l'importation. Le processus peut être automatisé pour les importations futures de SBOM du même fournisseur ou pipeline.
Sortie SBOM
Fonctionnalités recommandées
✅ Exporter les SBOM au format CDX ou SPDX
✅ Exporter les SBOM sous forme de fichiers JSON ou XML
✅ Convertir un type de fichier SBOM en un autre
✅ Convertir un fichier SBOM en un autre
✅ Agréger plusieurs SBOM en une seule SBOM
Capacités d'Interlynk
Interlynk peut interopérer avec les SBOM CycloneDX et SPDX et les exporter en JSON et XML avec ou sans données de vulnérabilité. La SBOM des fournisseurs peut être liée ou fusionnée en SBOM produit à l'aide des fonctionnalités de assemblage SBOM.
Génération SBOM et gestion des composants
Génération de SBOMs
Fonctionnalités recommandées
✅ Générer des SBOM à partir de divers types de résultats de processus de développement logiciel (par exemple, à partir d'un environnement de construction de logiciel, de l'analyse d'un fichier binaire, d'une requête du registre système, etc.).
Capacités d'Interlynk
Interlynk peut apporter des SBOM de tous les pipelines CI/CD modernes et des stockages de SBOM à partir des demandes SBOM envoyées via la Plateforme ou à partir d'importations directes. Interlynk a également construit des capacités pour créer des SBOM à partir de zéro pour une grande variété de systèmes de construction, y compris les constructions C/C++ héritées sans gestionnaires de paquets.
Gestion des composants SBOM
Fonctionnalités recommandées
✅ Afficher les champs SBOM minimaux NTIA (Nom du fournisseur, Nom du composant, Identifiant unique du composant (CPE, PURL)/Hash, Version du composant, Relation de dépendance du composant, Auteur du composant) pour chaque composant.
✅ Enrichir les informations SBOM à l'aide de sources de référence supplémentaires. Idéalement, cela devrait fournir des indices visuels indiquant que des informations externes ont été utilisées pour enrichir les données SBOM et des sites de sources de références des données d'enrichissement.
✅ Inclure des mécanismes pour représenter graphiquement les dépendances des composants.
✅ Afficher des informations sur la provenance des composants, y compris les enrichissements externes.
Capacités d'Interlynk
Interlynk identifie et permet l'édition de tous les champs SBOM minimaux NTIA, y compris les relations entre les composants. La plateforme détecte les erreurs courantes dans le nommage et l'identification des produits et apporte des métadonnées supplémentaires provenant de sources accessibles au public pour suggérer des corrections.
Validation et Suivi des Vulnérabilités
Validation de l'intégrité du SBOM et des composants du SBOM
Fonctionnalités recommandées
✅ Capturer et afficher les informations de hachage pour chaque composant. Idéalement, cette validation devrait fournir une signature numérique pour le SBOM et des informations de provenance pour chaque composant, ainsi que le hachage du composant, et un PURL ou un pointeur CPE.
✅ Inclure des liens vers des sources d'information où les données de provenance ont été collectées (prend en charge la capacité à vérifier l'intégrité et à évaluer le risque).
Capacités d'Interlynk
Interlynk construit un référentiel de hachages pour des composants disponibles publiquement et marque les SBOM avec des composants « vérifiés » ou « non vérifiés ». Interlynk permet également de signer cryptographiquement un SBOM sortant ou de permettre la vérification de la signature d'un SBOM entrant.
Suivi et analyse des vulnérabilités
Fonctionnalités recommandées
✅ Fournir des mises à jour quotidiennes de la base de données des vulnérabilités nationales (NVD) et d'autres données de vulnérabilité. Idéalement, ces mises à jour devraient fournir des extractions et des analyses continues des services d'intelligence sur les menaces cybernétiques (CTI) associés et des services d'amélioration des données SBOM.
✅ Notifier les utilisateurs des nouvelles vulnérabilités et mises à jour, y compris des alertes sur les vulnérabilités critiques émergentes et leur gravité. Idéalement, ces notifications devraient clairement distinguer entre une nouvelle vulnérabilité et une mise à jour d'une vulnérabilité existante, et fournir des informations supplémentaires pour prioriser les réponses aux vulnérabilités ainsi que des conseils de remédiation des risques.
👨🏽💻 Intégrer diverses sources d'intelligence sur les menaces en plus des diverses bases de données de vulnérabilités/faiblesses logicielles.
👨🏽💻 Fournir un moteur de politique flexible, y compris la capacité d'appliquer et de mettre à jour des règles de politique spécifiques à l'organisation. Idéalement, cette personnalisation devrait permettre l'intégration de l'intelligence sur les menaces sous forme de règles de politique.
✅ Fournir plusieurs moyens d'identifier et de rechercher l'existence d'une vulnérabilité émergente dans le référentiel d'actifs/SBOM de l'utilisateur. Idéalement, cela devrait rapidement identifier des réseaux ou des points de terminaison spécifiques contenant les logiciels et les configurations affectés par une vulnérabilité nouvellement découverte.
✅ Soutenir et suivre la rapidité de la remédiation des vulnérabilités (y compris la gestion de la configuration/la traçabilité vers un nouveau SBOM pour distinguer le logiciel vulnérable, remplacé du logiciel remédié/renforcé).
Capacités d'Interlynk
Le système de gestion des vulnérabilités d'Interlynk dans les SBOM est construit sur des données mises à jour en continu provenant de plusieurs sources, y compris la NVD et KEV. Un changement d'état dans les vulnérabilités du SBOM peut être utilisé pour des notifications personnalisables avec de multiples intégrations - Email, Slack, JIRA, et plus encore. Interlynk construit un moteur de politique pour établir une politique spécifique pour les attentes en matière de construction ou d'approvisionnement logiciel du point de vue de l'analyse des risques juridiques et de sécurité. Les vulnérabilités peuvent être cartographiées par rapport à des actifs statiques ou déployés, fournissant une notification quasi en temps réel lorsqu'elles sont affectées par une vulnérabilité nouvellement publiée. Les métadonnées des vulnérabilités, accompagnées des métadonnées des logiciels, permettent de suivre des métriques adaptées à diverses conformités, y compris la FDA.
Faire la distinction entre les vulnérabilités identifiées et exploitables
Fonctionnalités recommandées
Indiquez si une vulnérabilité est réellement exploitable et soutenez les preuves et justifications accompagnant les affirmations non exploitables. Idéalement, elle devrait annoter et mettre à jour les informations sur l'exploitabilité d'une vulnérabilité de composant en utilisant le format d'échange d'exploitabilité des vulnérabilités (VEX).
Capacités d'Interlynk
Interlynk suit l'état de chaque vulnérabilité à travers les produits et leurs versions. Le statut VEX tel que recommandé par la CISA est intégré dans la plateforme elle-même avec les outputs CycloneDX et OpenVEX. Le VEX est transféré entre les versions de produits quand cela est applicable et peut être exporté au format PDF ou CSV pour un examen externe.
Interface Utilisateur & Reporting
Interface utilisateur
Fonctionnalités recommandées
✅ Suivre les normes d'interface homme-machine (IHM).
Incorporer des fonctionnalités d'accessibilité.
✅ Fournir des mécanismes qui facilitent l'évaluation de l'information et, si souhaité, permettre à l'utilisateur d'approfondir facilement (souvent en survolant les icônes ou en cliquant sur des icônes avec des liens) pour voir le niveau de détail suivant.
✅ Fournir des méthodes et des formats de représentation graphique facilement compréhensibles pour transmettre les attributs d'information sur les composants logiciels, les vulnérabilités, les licences, les organisations fournisseurs, les utilisateurs et les organisations d'utilisateurs.
✅ Fournir plusieurs moyens de « creuser » et d'obtenir des informations supplémentaires sur la provenance des composants logiciels, la vulnérabilité, la licence et le statut de risque.
✅ Fournir des moyens de créer des regroupements ou catégories structurés de SBOM pour faciliter le suivi des actifs, la gestion des vulnérabilités, la gestion des incidents, etc.
✅ Fournir la capacité de filtrer/trier/grouper les informations SBOM selon des attributs sélectionnables par l'utilisateur (par exemple, par type de logiciel/BOM, source de logiciel/BOM, PoC de logiciel/BOM; type de composant, paquet de composant, âge du composant, versions du composant, tendance de sécurité; gravité de la vulnérabilité, nombre de vulnérabilités; et niveau d'organisation, type de licence, violation).
Capacités Interlynk
Le design minimal du tableau de bord Interlynk se concentre sur l’obtention des bonnes informations au bon moment. Les données sous-jacentes sont organisées en plusieurs couches, des composants et leurs sources aux écosystèmes, parties de produits, versions de produits et pipelines de produits. Chaque page de contexte dispose de son propre ensemble de capacités de recherche et de filtrage, et l'interface se concentre sur la cartographie d'un composant vulnérable à tous les produits et chaînes d'approvisionnement qui en sont affectés.
Formes et méthodes de sortie
Fonctionnalités recommandées
✅ Produire des rapports standardisés concernant les attributs des composants, les informations sur les vulnérabilités, les informations sur les licences et les informations sur les fournisseurs de composants.
✅ Exporter des informations sur les dépendances sous forme graphique et/ou textuelle.
✅ Produire des représentations graphiques des résultats d'analyse.
✅ Idéalement, fournir un moyen modulaire d'exporter des textes et des graphiques spécifiques (qu'ils proviennent du SBOM lui-même ou dérivés des processus d'analyse et d'amélioration) pour utilisation dans des communications externes.
Capacités Interlynk
La plateforme Interlink est construite en tant qu'API de souscriptions GraphQL avec des schémas intuitifs et évolutifs qui sont immédiatement utilisables par n'importe quel client. Le moteur de traitement SBOM d'Interlynk vérifie les motifs récurrents dans le SBOM à travers les versions de produits et permet une analyse et un « patching de SBOM » si nécessaire.
Versionnage, Intégration et Sources de Données
Gestion des versions SBOM et prise en charge de la gestion de la configuration
Fonctionnalités recommandées
✅ Inclure une capacité de gestion de configuration évolutive pour les SBOM. Minimement, cela devrait inclure des mécanismes pour organiser les SBOM, maintenir l'historique des versions et suivre les changements des SBOM/logiciels.
✅ Inclure des mécanismes personnalisables par l'utilisateur pour organiser les SBOM selon plusieurs attributs d'information (tels que par organisation, fournisseur de logiciels, type de logiciel, type de BOM, type de licence, etc.).
✅ Inclure un graphique de tendance montrant le nombre de vulnérabilités pour chaque niveau de gravité à travers chaque version de composant et rapporter si le nombre de vulnérabilités des composants augmente ou diminue avec chaque nouvelle version.
👨🏽💻 Comparer les versions SBOM pour le même logiciel et mettre en évidence les différences (telles que par différents composants ou versions de composants, différentes sources, etc.).
Capacités d'Interlynk
La plateforme Interlink est construite comme une API de souscriptions GraphQL avec des schémas intuitifs et évolutifs qui sont immédiatement utilisables par tout client. Le moteur de traitement SBOM d'Interlynk vérifie les schémas récurrents dans les SBOM à travers les versions de produits et permet l'analyse et le "patching SBOM" si nécessaire.
Intégration et flux de travail avec d'autres systèmes
Fonctionnalités recommandées
✅ Avoir un design "API First" pour faciliter l'importation et l'exportation d'informations avec d'autres systèmes. Idéalement, les éléments d'information au sein de l'outil devraient être exportables/téléchargeables individuellement.
✅ S'intégrer avec plusieurs types de sources SBOM et d'autres données qui peuvent être combinées pour l'analyse.
✅ Tirer parti des capacités API indépendantes du format, sans état et évolutives (telles que REST) pour automatiser les processus/le flux de travail.
✅ Supporter un écosystème d'échange intégré Producteur/Consommateur sécurisé.
Capacités d'Interlynk
La plateforme est construite comme une API de souscriptions GraphQL avec des schémas intuitifs et évolutifs qui sont immédiatement utilisables par tout client. Le moteur de traitement SBOM d'Interlynk vérifie les schémas récurrents dans les SBOM à travers les versions de produits et permet l'analyse et le "patching SBOM" si nécessaire.
Support d'accès aux sources de données
Fonctionnalités recommandées
👨🏽💻 Intégrer des moteurs IA/ML et des « lacs de données » associés qui analysent les informations des composants SBOM par rapport à divers types de signatures et de schémas de menaces.
✅ Inclure une bibliothèque mise à jour de licences de logiciels open source que l'outil de gestion SBOM identifie et suit là où cela est applicable.
Capacités d'Interlynk
La plateforme construit une bibliothèque de licences open source et de licences commerciales en cours d'utilisation et les sépare en catégories actives et inactives à mesure que la fin de vie du logiciel approche. La plateforme envisage l'utilisation d'un moteur ML pour le rapprochement des vulnérabilités.
Architecture, Configuration et Remarques finales
Architecture évolutive
Fonctionnalités recommandées
✅ Inclure des mécanismes pour supporter des sous-organisations distinctes au sein d'une entreprise qui peuvent avoir différentes règles ou politiques de tolérance au risque.
Gérer d'autres types de BOM.
✅ Faire partie d'un ensemble d'outils qui travaillent ensemble pour accomplir des activités de Gestion des Risques, de Gestion des Vulnérabilités et de Gestion des Incidents.
Capacités d'Interlynk
Interlynk est conçu avec une entreprise multi-unités à l'esprit et prend en charge RBAC, les regroupements de produits et la séparation des politiques et des contrôles par groupes de produits. La plateforme a été construite d'abord avec l'API et a plusieurs intégrations sur sa feuille de route.
Configuration et installation de l'outil SBOM
Fonctionnalités recommandées
✅ Fournir des mécanismes et des supports pour télécharger, configurer et intégrer facilement dans des environnements Linux ou Microsoft. Idéalement, il devrait prendre en charge les deux environnements.
Capacités d'Interlynk
Interlynk est disponible en tant que plateforme Software-as-a-Service avec une solution on-premise containerisée dans la feuille de route.