Alles over CycloneDX 1.5
Interlynk
CycloneDX is een van de drie SBOM-specificaties die worden aanbevolen door NTIA/CISA.
Het CycloneDX-team heeft hun nieuwste versie - 1.5, uitgebracht op 26 juni. Deze versie bevat functies die nieuwe SBOM-gebruikssituaties dekken en bestaande mogelijkheden uitbreiden.
Laten we beginnen.
xBOM-uitbreiding
Bron: CycloneDX-vaardigheden
CycloneDX staat bekend om zijn flexibiliteit om een verscheidenheid aan BOM-typen te ondersteunen, zoals SBOM, SaaSBOM en HBOM. CycloneDX 1.5 breidt de gebruikscasussen in vier richtingen uit:
ML-BOM: SBOM voor applicaties die gebruikmaken van Machine Learning
MBOM: Klassieke BOM als CycloneDX naast processen en testen
KBOM: SBOM voor Kubernetes-clusters
SBOM voor Low-Code Toepassingen
ML-BOM
Deze versie ondersteunt het bouwen van een Machine Learning Bill of Materials (ML-BOM) als een CycloneDX-document. Met versie 1.5 kan CycloneDX helpen bij het documenteren van machine learning-modellen en datasets als onderdeel van de SBOM-componenten. ML-BOM-documenten kunnen helpen bij het documenteren en delen van de methoden, beperkingen en gerelateerde zorgen van het model, zoals ethische AI of dataprivacy.
In de specificatie worden ML-BOM-functies gecreëerd door machine-learning-model en data toe te voegen aan de type van de componenten-knooppunt van CycloneDX 1.4. De specificatie omvat ook externalReferences de nieuwe type model-card. Deze referentie beschrijft het beoogde gebruik van een machine learning-model, mogelijke beperkingen, vooroordelen, ethische overwegingen, trainingsparameters en andere ML-transparantiegegevens.
MBOM
Deze versie kan beschrijven hoe een product wordt gemaakt, genoemd de Manufacturing Bill of Materials (MBOM). Dit is een verbetering ten opzichte van de klassieke BOM (lijst van productiecomponenten) omdat MBOM, naast componenten, alle onderdelen omvat, inclusief hardware, firmware, software, processen en testen.
MBOM-functies zijn de opname van nieuwe types in het components-knooppunt:
platform
device-driverdata
MBOM maakt ook gebruik van de nieuw ingevoerde formulation-knoop om te beschrijven hoe een component of dienst is vervaardigd of ingezet. Deze knoop ondersteunt de opname van details voor formules, taken, stappen en eventuele diensten. Bovendien kan elke component zijn formulering specificeren, waardoor recursieve formulering door het gehele bouwproces mogelijk is.
Tenslotte worden externalReferences types uitgebreid om nieuwe types voor evidence, formulation, quality-metrics, en codified-infrastructure op te nemen.
KBOM
Open-source beveiligingsscanner Trivy van Aqua gebruikt CycloneDX 1.5 om de Kubernetes Bill of Materials (KBOM) te genereren. KBOM kan worden gebruikt om de samenstelling van een cluster, manifesten van componenten, versies en afbeeldingen te documenteren.
Bron: Introductie van KBOM — Kubernetes Bill of Materials
KBOM maakt gebruik van CycloneDX 1.5 om het cluster op te splitsen in logische entiteiten “Control Plane,” “Nodes,” en “Addons,” — waardoor een offline analyse van het cluster mogelijk is naast de kwetsbaarheid en beveiligingsmonitoring.
SBOM voor Low-Code Toepassingen
De complexiteit van low-code toepassingen is verborgen achter low-code platforms. Deze versie van CycloneDX stelt een low-code platform in staat om de status van elke toepassing afzonderlijk te documenteren.
Functie-uitbreiding
Bron: OWASP Authoritative Guide to SBOM: Levenscyclusfasen
CycloneDX 1.5 verbetert de bestaande dekking van SBOM met specifieke verbeteringen voor documentatie:
SDLC Levenscyclusfase voor SBOM-creatie
Commerciële Licenties
BOM Volwassenheidsmodel
SBOM Kwaliteit
Bekende Onbekenden in Componenten
Bewijs van Concept voor Kwetsbaarheid
Levenscyclusfase
CycloneDX definieert zeven levenscyclusfases: Ontwerp, Pre-Bouw, Bouw, Post-Bouw, Operaties, Ontdekking en Decommissioning. Daarnaast kan hetzelfde veld worden gebruikt om een aangepaste levenscyclusfase te definiëren, samen met de beschrijving van een dergelijke fase. De Authoritative Guide to SBOM stelt dat de levenscyclus nuttig is voor Software Asset Management (SAM) en IT Asset Management (ITAM). Vooraf gedefinieerde levenscyclusfases tonen de SBOM-documenttypen van CISA op basis van het moment van creatie.
CycloneDX 1.5 omvat levenscyclus als onderdeel van de metadata -node die eerder de tijdstempel, tools, leveranciers, licenties en auteurs omvatte.
Commerciële Licenties
Deze release voegt ook ondersteuning toe voor het documenteren van commerciële licenties in de SBOM. Dit, samen met de ondersteuning voor open-source licenties die is overgenomen van CycloneDX 1.4, biedt een robuust mechanisme voor het documenteren van alle licenties binnen een product. Licentiebeheer, inclusief het bijhouden van licentiegebruik, verlengingen en eventuele schendingen, stelt SBOM in staat om te voldoen aan de vereisten van SAM en ITAM.
Bron: Commerciële Licentie-expressie in CycloneDX 1.5
BOM Volwassenheidsmodel
De OWASP Software Component Verification Standard (SCVS) evalueert de volwassenheid van de softwareleveringsketen van een organisatie. De drie niveaus van SCVS stellen evaluatie van Inventaris, SBOM, Bouwomgeving, Pakketbeheer, Componentanalyse, & Afkomst, en Provenance van componenten mogelijk.
Het BOM Volwassenheidsmodel dat is afgeleid van SCVS maakt de evaluatie van SBOM mogelijk aan de hand van vooraf ingestelde beleidslijnen. Dergelijke evaluatie kan feedback geven aan SBOM-generatoren zoals SBOM-tools of componentleveranciers.
SBOM Kwaliteit
Bron: Commerciële Licentie-expressie in CycloneDX 1.5
De Authoritative Guide to SBOM beschrijft alle nieuwe functies van CycloneDX 1.5. Hetzelfde document stelt SBOM "kwaliteit" vast als een multidimensionale constructie voor Breedte, Diepte, Levenscycli, Technieken en Vertrouwen.
De velden lifecycle en evidence spelen een sleutelrol in het specificeren van de kwaliteit van de SBOM. evidence biedt de mogelijkheid om bewijs te documenteren dat is verzameld via verschillende vormen van extractie of analyse.
Binnen de CycloneDX-specificatie wordt evidence geregistreerd op componenten > bewijsnode per component. De waarden kunnen vertrouwen in het bewijs, gebruikte tools en callstack voor het bewijs omvatten.
Bekende Onbekende voor Componenten
Bron: Authoritative Guide to SBOM
CycloneDX 1.5 verbetert de registratie van de volledigheid van SBOM door nieuwe velden in te voeren in de compositions > aggregate -node voor het verduidelijken van de volledigheid van — eerste- en derde-partij, propriëtaire en open-source componenten.
Bewijs van Concept voor Kwetsbaarheid
Kwetsbaarheid openbaarmaking en beheer zijn ook verbeterd met CycloneDX 1.5. De specificatie staat de registratie van de proofOfConcept -node onder Vulnerabilities toe die — reproductiestappen, omgeving en ondersteunend materiaal voor elk bekend bewijs van concept kan vastleggen.
De vulnerabilities -node ondersteunt ook de registratie van rejected als de datum en tijd (tijdstempel) waarop het kwetsbaarheidsrecord is afgewezen (indien van toepassing).
CycloneDX blijft vooruitgang boeken in het verbeteren van de dekking van de SBOM en het verbeteren van hoe de gegevens moeten worden geïnterpreteerd en gebruikt.