sbomasm: SBOM-assemblage voor softwareproducten

Bouwen van de Software Bill of Materials, of "SBOM" — naast de software zelf — is een goede praktijk voor het monitoren van zero-day kwetsbaarheden of het voldoen aan regelgeving en compliance vereisten.

‍SBOM is ook klaar voor de eisen van transparantie van software die opkomen in goed gereguleerde gebieden zoals Financiën, Gezondheidszorg en Federale Agentschappen.

‍Commerciële en open-source tools bestaan voor het bouwen van SBOM voor softwareprojecten in de meeste software-ecosystemen en vanuit applicatiebinaries en firmware.

‍Echter, een typisch commercieel beschikbaar softwareproduct of verbonden apparaat is opgebouwd als een verzameling van software en hardware projecten samengesteld uit meerdere hardwarecomponenten, bibliotheken, diensten, of zelfs de directe distributie van uitvoerbare bestanden.

‍

Voorbeelden:

• Een mobiele app bevat bibliotheken van derden voor marketing-, authenticatie- of advertentiedoeleinden — allemaal van derde leveranciers.

• Een medisch apparaat kan programmeerbare componenten van verschillende leveranciers bevatten, elk met zijn eigen versies en upgradecycli.

• Een desktopapplicatie kan werken met enkele uitvoerbare bestanden van derden die het aanroept voor specifieke functionaliteiten.

In deze gevallen kan SBOM voor projecten en bibliotheken worden gebouwd met het project, maar het combineren ervan in de uiteindelijke product SBOM vereist een dieper begrip van SBOM-formaten en beperkingen.

Een uiteindelijke product SBOM bouwen door de project SBOM te combineren, lost verschillende problemen op, waaronder:

• Levering van één product SBOM in plaats van veel project SBOM

• Volgen van productversies tegen specifieke projectversies

• Volgen van het eindproduct met een enkele SKU in SBOM-beheersystemen

• Het in kaart brengen van nieuw onthulde kwetsbaarheden naar specifieke projecten