De behoefte aan SBOM — Deel 1
Interlynk
In 2023 blijft de Software bill of materials (“SBOM”) de gesprekken over software openbaarmaking en beveiliging domineren. Hoewel er alternatieve benaderingen zijn voor de software openbaarmaking, is SBOM beoordeeld door een multistakeholdergroep geleid door de National Telecommunications and Information Administration (NTIA) in een meerjarig proces en wordt daarom als geschikt en effectief beschouwd voor het verminderen van de cybersecurityrisico's met machine snelheid. Het kan de moeite waard zijn om erdoorheen te klikken om te begrijpen hoe dat zo is.
CVE en NVD
Sinds 1999 beheert MITRE een lijst van openbaar bekendgemaakte cybersecuritykwetsbaarheden met speciaal aangewezen ID's, genaamd Common Vulnerability Enumeration (“CVE”).
CVE's dekken een breed scala van hardware, software en hun componenten, zoals CVE-2013–4632: kwetsbaarheid voor een denial of service in de Huawei Access Router (AR), CVE-2022–30190: kwetsbaarheid voor remote code execution in de Microsoft Windows Support Diagnostic Tool (MSDT) en CVE-2022–44054: een potentiële code-backdoor in het d8s-xml PyPI-pakket.
Beveiligingsonderzoekers zijn voortdurend op zoek naar nieuwe kwetsbaarheden in openbaar beschikbare software- en hardwareproducten en registreren deze met CVE, zodat de ontwikkelaars van die producten ze kunnen patchen.
De CVE-lijst van MITRE bevat de National Vulnerability Database (“NVD”), een U.S. overheidsarchief van op normen gebaseerde kwetsbaarheidsinformatie. NVD is gebaseerd op en is volledig gesynchroniseerd met de CVE-lijst van MITRE.
Dit ecosysteem stelt elk product en elke versie in staat om te worden gecontroleerd op NVD voor alle bekende kwetsbaarheden. De naam/versie van dit product van de kwetsbaarheid kaart is al bijna twee decennia de basis geweest van kwetsbaarheidsbeheerprogramma's.
Maar natuurlijk is er een uitdaging.
Softwareleveringsketen
Moderne hardware en software worden zelden vanaf nul geschreven. Een typische applicatie is samengesteld uit vooraf gebouwde open-source of commerciële componenten van derden. Bijvoorbeeld — de iPhone 14 bevat Samsung’s displaypanelen, Sony’s beeldsensoren, Qualcomm, Broadcom, en Skyworks-componenten, terwijl de Solarwinds Netwerkconfiguratiebeheerder (NCM) applicatie ActiveSkin, UltraToolBars en Log4Net, onder anderen, bevat.
Bron: https://www.therussianstore.com/blog/the-history-of-nesting-dolls/
De componenten kunnen afhankelijk zijn van subcomponenten die door een andere laag van open-source of commerciële leveranciers worden geleverd. Log4Net gebruikt een andere open-source bibliotheek, qs, voor query-parsing.
Deze commerciële of open-source componentafhankelijkheid keten kan de zoekfunctie naar kwetsbaarheden minder effectief maken. Tenzij de samenstelling van SolarWinds NCM bekend is, kan een zoekopdracht op productnaam — Netwerkconfiguratiebeheerder — de onderliggende kwetsbaarheden van qs niet blootleggen vanwege de geneste afhankelijkheden (NCM bevat Log4Net dat op zijn beurt qs bevat).
Dit is de fundamentele uitdaging bij het beveiligen van software met een onbekende samenstelling, en SBOM is in wezen een poging om dit op te lossen.
In Deel 2 — Hoe SBOM programmeerbare componenten decompositieert en uitdrukt om de naleving en veiligheidsrisico's nauwkeurig te beoordelen.