Voldoen aan de NSA SBOM-aanbevelingen
Interlynk
De National Security Agency (NSA) heeft zijn “Aanbevelingen voor het Beheer van Software Bill of Materials (SBOM)” uitgebracht.
Het document raadt aan om SBOM te gebruiken voor het nemen van beslissingen over Risicobeheer, Soolkbeheer en Incidentbeheer, en om die doelen te bereiken, schetst het document de mogelijkheden van een ideaal SBOM-beheersysteem.
Het Interlynk-platform is ontworpen met deze gebruiksgevallen in gedachten, waardoor het een uitgebreide oplossing is voor alle aanbevolen mogelijkheden.
Achtergrond
De National Security Agency (NSA) heeft het Cybersecurity Informatieblad (CSI) uitgebracht genaamd “Aanbevelingen voor het Beheer van Software Bill of Materials (SBOM)”.
Deze CSI biedt netwerkeigenaren en operators richtlijnen voor het opnemen van SBOM-gebruik om de cybersecurity-toeleveringsketen te beschermen, met een focus op en enkele aanvullende richtlijnen voor National Security Systems (NSS).
Dit document is ontwikkeld als onderdeel van een Cybersecurity Supply Chain Risk Management (C-SCRM) initiatief door verschillende SBOM-tools te evalueren. Daarom vertegenwoordigt het de beste mogelijkheden van SBOM-tools.
Aanbevolen SBOM-mogelijkheden
✅ = Ingebouwd in Interlynk-platform
SBOM Invoer & Uitvoer
SBOM Invoer
Aanbevolen Functionaliteiten
✅ CycloneDX 1.4 of nieuwer, SPDX 2.1 of nieuwer
✅ JSON, XML en CSV import
✅ SBOM-structuur en syntaxiscontroles
✅ Gebruiker waarschuwen over de naleving van de SBOM met de relevante structuur en syntaxis
✅ Een autocorrectieoptie opnemen om de gebruiker te helpen
Interlynk Capaciteiten
Interlynk ondersteunt CycloneDX 1.4 of nieuwer, SPDX 2.1 of nieuwer bestanden in JSON, XML, RDF en Tag-Value en CSV import. Het platform identificeert de meest voorkomende fouten in de opgenomen SBOM, maakt zijn kwaliteitsbeoordeling, legt alle bevindingen voor aan gebruikers, en geeft hen de controle over de import. Het proces kan worden geautomatiseerd voor toekomstige SBOM-imports van dezelfde leverancier of pijplijn.
SBOM Uitvoer
Aanbevolen Functionaliteiten
✅ Exporteer SBOM's in CDX- of SPDX-formaat
✅ Exporteer SBOM's als JSON- of XML-bestanden
✅ Converteer het ene SBOM-bestandstype naar het andere
✅ Converteer het ene SBOM-bestand naar een ander
✅ Meerdere SBOM's samenvoegen in één SBOM
Interlynk Capaciteiten
Interlynk kan CycloneDX en SPDX SBOM's interopereren en deze exporteren in JSON en XML met of zonder kwetsbaarheidsgegevens. De SBOM van leveranciers kan worden gekoppeld of samengevoegd in product SBOM met behulp van SBOM samenvoeging functies.
SBOM-generatie en componentverwerking
SBOM's genereren
Aangeraden functies
✅ Genereer SBOM's uit verschillende soorten outputs van softwareontwikkelingsprocessen (bijvoorbeeld, vanuit een softwarebouwomgeving, vanuit de analyse van een binaire bestand, vanuit systeemregisterquery, enz.).
Interlynk-capaciteiten
Interlynk kan SBOM's halen uit alle moderne CI/CD-pijplijnen en SBOM-opslagplaatsen van SBOM-aanvragen die via het platform of directe import zijn verzonden. Interlynk heeft ook de mogelijkheden ontwikkeld om SBOM's vanaf nul op te bouwen voor een breed scala aan buildsysteem, inclusief legacy C/C++ builds zonder pakketbeheerders.
Omgang met SBOM-componenten
Aangeraden functies
✅ Toon NTIA-minimum SBOM-velden (Leveranciernaam, Componentnaam, Component unieke identificatie (CPE, PURL)/Hash, Componentversie, Component afhankelijkheidsrelatie, Component auteur) voor elke component.
✅ Verrijk SBOM-informatie met behulp van aanvullende referentiebronnen. Idealiter moet het visuele aanwijzingen bieden die aangeven dat externe informatie is gebruikt om de SBOM-gegevens te verrijken en verwijzingen naar de websites van de verrijkingsdata bieden.
✅ Inclusief mechanismen om componentafhankelijkheden grafisch weer te geven.
✅ Toon informatie over de oorsprong van componenten, inclusief externe verrijkingen.
Interlynk-capaciteiten
Interlynk identificeert en maakt het mogelijk om alle NTIA-minimum SBOM-velden te bewerken, inclusief componentrelaties met elkaar. Het platform detecteert veelvoorkomende fouten in productnamen en identificatie en brengt extra metadata van publiek toegankelijk bronnen om oplossingen voor te stellen.
Validatie & Kwetsbaarheid Tracking
Validatie van SBOM en de integriteit van SBOM-componenten
Aangeraden Kenmerken
✅ Vang hash-informatie en toont deze voor elke component. Idealiter zou deze validatie een digitale handtekening voor de SBOM en herkomstinformatie voor elke component moeten bieden, evenals de Component Hash en een PURL- of CPE-verwijzing.
✅ Inclusief links naar informatiebronnen waar herkomstgegevens zijn verzameld (ondersteunt het vermogen om de integriteit te verifiëren en risico's te beoordelen).
Interlynk Mogelijkheden
Interlynk bouwt een repository van hashes voor veelvoorkomende publiekelijk beschikbare componenten en markeert SBOM met 'geverifieerd' of 'niet-geverifieerd' componenten. Interlynk biedt ook de mogelijkheid om een uitgaande SBOM cryptografisch te ondertekenen of om verificatie van de handtekening voor een binnenkomende SBOM mogelijk te maken.
Vaak voorkomende kwetsbaarheden en analyses
Aangeraden Kenmerken
✅ Bied dagelijkse updates van de National Vulnerability Database (NVD) en andere kwetsbaarheidsgegevens. Idealiter zouden deze updates continue extracts en analyses moeten bieden van bijbehorende cyberdreigingsinformatie (CTI) en diensten ter verbetering van SBOM-gegevens.
✅ Meld gebruikers over nieuwe kwetsbaarheden en updates, inclusief waarschuwingen voor opkomende kritieke kwetsbaarheden en hun ernst. Idealiter zouden deze meldingen duidelijk moeten onderscheiden tussen een nieuwe kwetsbaarheid en een update van een bestaande kwetsbaarheid, en aanvullende informatie bieden om reacties op kwetsbaarheden te prioriteren, samen met richtlijnen voor risicobeperking.
👨🏽💻 Integreer verschillende bronnen van dreigingsinformatie naast de verschillende software kwetsbaarheid/zwakte databases.
👨🏽💻 Bied een flexibele beleidsmotor, inclusief de mogelijkheid om organisatie-specifieke beleidsregels toe te passen en bij te werken. Idealiter zou deze aanpassing de integratie van dreigingsinformatie als beleidsregels mogelijk moeten maken.
✅ Bied meerdere manieren om het bestaan van een opkomende kwetsbaarheid in de SBOM-repository/inventaris van de gebruiker te identificeren en te onderzoeken. Idealiter zou het snel specifieke netwerken of eindpunten moeten identificeren die de software en configuraties bevatten die door een nieuw ontdekte kwetsbaarheid worden beïnvloed.
✅ Ondersteun en volg de tijdigheid van het verhelpen van kwetsbaarheden (inclusief configuratiebeheer/nazorg naar een nieuwe SBOM om de kwetsbare, vervangende software te onderscheiden van de verholpen/verstevigde vervangende software).
Interlynk Mogelijkheden
Het kwetsbaarheidsbeheersysteem van Interlynk in SBOM's is gebouwd op voortdurend bijgewerkte gegevens van meerdere bronnen, waaronder NVD en KEV. Een statuswijziging in SBOM-kwetsbaarheden kan worden gebruikt voor aanpasbare meldingen met meerdere integraties - E-mail, Slack, JIRA en meer. Interlynk bouwt een beleidsmotor op om specifiek beleid in te stellen voor software-build- of inkoopverwachtingen vanuit de juridische en beveiligingsrisicoanalyse. De kwetsbaarheden kunnen worden teruggevoerd naar statische of gedeployde activa, wat een bijna realtime meldingen mogelijk maakt wanneer ze worden getroffen door een nieuw gepubliceerde kwetsbaarheid. De kwetsbaarheidsmetadata, samen met softwaremetadata, maakt het mogelijk metrics te volgen die geschikt zijn voor verschillende compliance, inclusief FDA.
Het onderscheiden van geïdentificeerde versus uitbuitbare kwetsbaarheden
Aanbevolen functies
Geef aan of een kwetsbaarheid daadwerkelijk uitvoerbaar is en ondersteun bijbehorende bewijsvoering en rechtvaardiging voor niet-uitvoerbare claims. Idealiter zou het informatie over de uitvoerbaarheid van een componentkwetsbaarheid moeten annoteren en bijwerken met behulp van het Vulnerability Exploitability eXchange (VEX) formaat.
Interlynk mogelijkheden
Interlynk volgt de status van elke kwetsbaarheid over producten en hun versies. De VEX-status zoals aanbevolen door CISA is ingebakken in het platform zelf met CycloneDX en OpenVEX-uitvoer. De VEX blijft van toepassing op productversies wanneer relevant en kan worden geëxporteerd als PDF of CSV voor externe beoordeling.
Gebruikersinterface en Rapportage
Gebruikersinterface
Aangeraden Kenmerken
✅ Volg de normen voor Human Computer Interface (HCI).
Incorporeer toegankelijkheidsfuncties.
✅ Bied mechanismen die het gemakkelijk maken om de informatie te beoordelen en, indien gewenst, de gebruiker in staat stellen gemakkelijk dieper in te gaan (vaak door met de cursor over iconen te bewegen of door op iconen met links te klikken) om het volgende detailniveau te bekijken.
✅ Bied gemakkelijk begrijpelijke grafische representatiemethoden en -formaten om informatie-attributen over softwarecomponenten, kwetsbaarheden, licenties, leveranciersorganisaties, gebruikers en gebruikersorganisaties over te brengen.
✅ Bied meerdere manieren om 'diepgaande' informatie te verkrijgen over de herkomst van softwarecomponenten, kwetsbaarheden, licenties en risicostatus.
✅ Bied middelen om gestructureerde groeperingen of categorieën van SBOM's te creëren om asset tracking, kwetsbaarheidsbeheer, incidentbeheer, enz. te vergemakkelijken.
✅ Bied de mogelijkheid om SBOM-informatie te filteren/sorteren/groeperen op basis van door de gebruiker geselecteerde attributen (zoals, naar software/BOM-type, software/BOM-bron, software/BOM PoC; componenttype, componentpakket, componentleeftijd, componentversies, beveiligingstrend; kwetsbaarheid ernst, kwetsbaarheid aantal; en organisatieniveau, licentietype, schending).
Interlynk Mogelijkheden
Interlynk minimal dashboard ontwerp richt zich op het verkrijgen van de juiste informatie op het juiste moment. De onderliggende gegevens zijn georganiseerd in veel lagen, van componenten en hun bronnen tot ecosystemen, productonderdelen, productversies en productpijplijnen. Elke contextpagina krijgt zijn eigen set zoek- en filtermogelijkheden, en de interface richt zich op het in kaart brengen van een kwetsbare component naar alle producten en toeleveringsketens die erdoor worden beïnvloed.
Outputvormen en -methoden
Aangeraden Kenmerken
✅ Lever gestandaardiseerde rapporten over componentattributen, kwetsbaarheidsinformatie, licentie-informatie en informatie van componentleveranciers.
✅ Exporteer afhankelijkheidsinformatie in grafische en/of tekstformaat.
✅ Lever grafische weergaven van analysemethoden.
✅ Idealiter, bied een modulaire manier om specifieke tekst en graphics te exporteren (hetzij uit de SBOM zelf of afgeleid van analyses en verbeterprocessen) voor gebruik in externe communicatie.
Interlynk Mogelijkheden
Interlink Platform is gebouwd als een GraphQL subscriptions API met intuïtieve, schaalbare schema's die onmiddellijk bruikbaar zijn door elke client. De Interlynk SBOM-verwerkingsengine controleert op terugkerende patronen in SBOM over productversies en stelt analyses en "SBOM patching" in staat zoals nodig.
Versiebeheer, Integratie & Gegevensbronnen
SBOM-versiebeheer en configuratiebeheerondersteuning
Aanbevolen functies
✅ Inclusief een schaalbare configuratiebeheerfunctie voor SBOM's. Minimale vereiste is dat het mechanismen omvat om SBOM's te organiseren, versiegeschiedenis te behouden en wijzigingen van SBOM's/software bij te houden.
✅ Inclusief door gebruikers aanpasbare mechanismen om SBOM's te organiseren aan de hand van meerdere informatie-attributen (zoals op basis van organisatie, softwareleverancier, type software, type BOM, licentietype, enz.).
✅ Inclusief een trendgrafiek die het aantal kwetsbaarheden voor elk ernstniveau over elke componentversie toont en rapporteert of de aantallen componentkwetsbaarheden stijgen of dalen met elke versie-release.
👨🏽💻 Vergelijk SBOM-versies voor dezelfde software en markeer verschillen (zoals door verschillende componenten of verschillende componentversies, verschillende bronnen, enz.).
Interlynk-vaardigheden
Interlink-platform is gebouwd als een GraphQL-abonnements-API met intuïtieve, schaalbare schema's die onmiddellijk door elke cliënt bruikbaar zijn. De Interlynk SBOM-verwerkingsengine controleert op terugkerende patronen in SBOM's over productversies en maakt analyse en “SBOM-patching” mogelijk indien nodig.
Integratie en workflow met andere systemen
Aanbevolen functies
✅ Pas een “API First”-ontwerp toe om de import en export van informatie met andere systemen te vergemakkelijken. Idealiter moeten informatie-elementen binnen de tool individueel exporteerbaar/downloadbaar zijn.
✅ Integreer met meerdere typen SBOM-bronnen en andere gegevens die kunnen worden samengevoegd voor analyse.
✅ Benut format-onafhankelijke, onafhankelijke, stateless en schaalbare API-capaciteiten (zoals REST) om processen/workflows te automatiseren.
✅ Ondersteun een veilig, geïntegreerd Producer/Consumer-uitwisselings ecosysteem.
Interlynk-vaardigheden
Interlink-platform is gebouwd als een GraphQL-abonnements-API met intuïtieve, schaalbare schema's die onmiddellijk door elke cliënt bruikbaar zijn. De Interlynk SBOM-verwerkingsengine controleert op terugkerende patronen in SBOM's over productversies en maakt analyse en “SBOM-patching” mogelijk indien nodig.
Ondersteunen van toegang tot gegevensbronnen
Aanbevolen functies
👨🏽💻 Integreer AI/ML-engines en bijbehorende ‘datalakes’ die SBOM-componentinformatie analyseren aan de hand van diverse typen dreigingshandtekeningen en patronen.
✅ Inclusief een updatebare bibliotheek van open-source softwarelicenties die de SBOM-beheer tool identificeert en bijhoudt waar van toepassing.
Interlynk-vaardigheden
Het platform bouwt een bibliotheek van open-source-licenties en commerciële licenties die worden gebruikt en scheidt deze in actieve en inactieve groepen naarmate de EOL van de software nadert. Het platform onderzoekt het gebruik van een ML-engine voor kwetsbaarheidsmatching.
Architectuur, Installatie & Slotopmerkingen
Schaalbare architectuur
Aangeraden functies
✅ Mechanismen opnemen om verschillende sub-organisaties binnen een onderneming te ondersteunen die mogelijk verschillende risicotoleranties of beleid hebben.
Omgaan met andere soorten BOM's.
✅ Deel uitmaken van of ondersteuning bieden voor een suite van tools die samenwerken om activiteiten voor Risicobeheer, Kwetsbaarheidsbeheer en Incidentbeheer te realiseren.
Interlynk-capaciteiten
Interlynk is ontworpen met de multi-unit onderneming in gedachten en ondersteunt RBAC, productgroeperingen en scheiding van beleid en controles per productgroep. Het platform is API-first gebouwd en heeft meerdere integraties op de roadmap.
SBOM-toolconfiguratie en -instelling
Aangeraden functies
✅ Mechanismen en ondersteunend materiaal bieden om eenvoudig te downloaden, op te zetten en te integreren in Linux- of Microsoft-omgevingen. Idealiter zou het beide omgevingen moeten ondersteunen.
Interlynk-capaciteiten
Interlynk is beschikbaar als een Software-as-a-Service platform met een containerized on-prem oplossing op de roadmap.