5 Belangrijke inzichten uit het nieuwste onderzoek naar SBOM-adoptie
Interlynk
Het landschap van softwareleveringsketens wordt steeds complexer, wat leidt tot grotere beveiligings- en nalevingsrisico's. Een effectieve manier om deze uitdagingen aan te pakken, is via Software Bills of Materials (SBOMs) — uitgebreide lijsten die alle componenten van een softwareproduct detailleren. Deze helpen organisaties om inzicht te krijgen in afhankelijkheden en hun softwareleveringsketen beter te beheren.
Ondanks hun waarde, vordert de adoptie van SBOMs langzamer dan verwacht.
Onderzoekers van Northwave Cyber Security en TU Delft hebben de adoptie van SBOMs onderzocht vanuit een zakelijke-stakeholder lens. Hun paper, Charting the Path to SBOM Adoption: A Business Stakeholder-Centric Approach, biedt nieuwe inzichten in de barrières en kansen rondom het gebruik van SBOMs.
Top Zakelijke Risico: Gecompromitteerde Componenten & Langzame Kwetsbaarheid Antwoord
Gecompromitteerde componenten en vertraagde kwetsbaarheidrespons zijn de primaire bedrijfsrisico's die de acceptatie van SBOM stimuleren.
50% van de B2B-organisaties
67% van de software-integratoren (SI)
…markeerde dit als een grote zorg.
Interessant is dat softwareverkopers (SV) geen gecompromitteerde componenten als een risico noemden — wat aangeeft dat de vraag naar SBOM voornamelijk wordt gedreven door softwareconsumenten, niet door makers.
Echter, de toenemende aandacht van systeemintegratoren suggereert dat SBOM-integratie in inkoopprocessen mogelijk eerder zal komen dan verwacht.
Belangrijkste zorg van ontwikkelaars: gebrek aan kennis
Een opmerkelijke bevinding: 100% van de ontwikkelaars (DEV) verklaarde dat een gebrek aan kennis en ervaring de grootste hindernis is voor de adoptie van SBOMs.
Dit is tegenstrijdig gezien de beschikbaarheid van:
Hulpbronnen van CISA
Open-source gemeenschappen zoals SPDX en CycloneDX
Groeiende publieke belangstelling (zoals te zien in Google Trends)
Maar het document legt uit dat, hoewel zakelijke teams nu de verwachtingen van SBOMs beter begrijpen, ontwikkelaars moeite hebben om duidelijke, directe voordelen te zien, wat de motivatie vermindert om de beschikbare hulpbronnen te verkennen.
Belangrijkste zakelijke zorg: SBOM-kwaliteit
Een slechte SBOM-kwaliteit wordt erkend als de belangrijkste belemmering voor adoptie.
100% van de B2B-respondenten
80% van de ontwikkelaars
…wijst op de SBOM-kwaliteit als een belangrijk probleem.
Aangezien de bruikbaarheid van SBOM sterk afhankelijk is van de volledigheid en nauwkeurigheid, zijn verbeteringen in kwaliteit essentieel. Interlynk heeft zich hierop gericht via:
Open-source tools
SBOM benchmarking-incentives
AI-gedreven SBOM verbeteroplossingen
Belangrijkste Ontwikkelaarskwestie: Kwetsbaarheid Misclassificatie
Ontwikkelaars maken zich ook zorgen over misclassificatie van kwetsbaarheden — inclusief vals positieven en vals negatieven.
Ondanks verbeteringen in frameworks zoals VEX,
60% van de ontwikkelaars beschouwen onnauwkeurige kwetsbaarheidsdata als een belangrijke hindernis voor de adoptie van SBOM.
Top zakelijke voordelen: Transparantie en beter kwetsbaarheidsbeheer
Respondenten benadrukten twee sterke voordelen van SBOM:
1. Verbeterd kwetsbaarheidsbeheer in de toeleveringsketen
2. Grotere transparantie in softwareafhankelijkheden
Inzichten per stakeholders:
B2B: unanieme overeenstemming over verbeterd kwetsbaarheidsbeheer
Systeemintegrators: benadrukken transparantie als de belangrijkste waarde
Ontwikkelaars: 80% waardeert beide evenzeer
Aanvullende belangrijkste bevindingen
Systeemintegrators en softwareleveranciers zijn de meest waarschijnlijke vroege adopters.
B2B-klanten en individuele ontwikkelaars zijn de minst waarschijnlijke.
Veel belanghebbenden missen nog steeds duidelijkheid over de voordelen en zorgen van SBOM.
Er is meer werk nodig aan normen, tools en bruikbaarheid voor SBOM-generatie en -consumptie.
De adoptie van SBOM bevindt zich nog in de vroege stadia, maar de interesse stijgt.
Beleidsmakers, brancheleiders en toolleveranciers moeten samenwerken om de adoptie te versnellen.
Hoe Interlynk Helpt
Interlynk stroomlijnt en automatiseert beveiligingsont disclosures met behulp van open source tools en AI-gedreven oplossingen om de SBOM-kwaliteit te verbeteren en inzicht in kwetsbaarheden te vergroten.
📩 Voor meer informatie: hello@interlynk.io
Erkenning
Bedankt aan Yury Zhauniarovich voor het delen van het onderzoek en het verlenen van toestemming om onze inzichten te publiceren.
🔗 Referentie:
https://zhauniarovich.com/publication/2024/kloeg2024charting/