De Wikipedia, la enciclopedia libre
Ir a navegaciónSaltar a buscar

Una lista de materiales de software [1] (SBOM) es una lista de componentes en una pieza de software . Los proveedores de software a menudo crean productos ensamblando componentes de software comercial y de código abierto . El SBOM describe los componentes de un producto. [2] [3] Es análogo a una lista de ingredientes en el empaque de alimentos: donde puede consultar una etiqueta para evitar alimentos que pueden causar alergias , los SBOM pueden ayudar a las empresas a evitar el consumo de software que podría dañar su organización.

El concepto de una lista de materiales está bien establecido en la fabricación tradicional como parte de la gestión de la cadena de suministro . [4] Un fabricante usa una lista de materiales para rastrear las partes que usa para crear un producto. Si posteriormente se encuentran defectos en una pieza específica, la lista de materiales facilita la localización de los productos afectados.

Uso

Un SBOM es útil tanto para el constructor (fabricante) como para el comprador (cliente) de un producto de software. Los constructores a menudo aprovechan los componentes de software de código abierto y de terceros disponibles para crear un producto; un SBOM permite al constructor asegurarse de que esos componentes estén actualizados y responder rápidamente a nuevas vulnerabilidades. [5] Los compradores pueden usar un SBOM para realizar análisis de vulnerabilidad o licencia, los cuales pueden usarse para evaluar el riesgo en un producto.

Si bien muchas empresas solo utilizan un documento de Microsoft Excel [6] para la gestión general de la lista de materiales, existen riesgos y problemas adicionales en un SBOM escrito en una hoja de cálculo. Los SBOM obtienen un mayor valor cuando se almacenan colectivamente en un repositorio que puede ser parte de otros sistemas de automatización, fácilmente consultados por otras aplicaciones.

Comprender la cadena de suministro de software, obtener un SBOM y usarlo para analizar vulnerabilidades conocidas son cruciales en la gestión de riesgos . [7] [8] [9]

Legislación

La Ley de Transparencia y Gestión de la Cadena de Suministro Cibernético de 2014 [10] fue una legislación estadounidense que propuso exigir a las agencias gubernamentales que obtengan SBOM para cualquier producto nuevo que compren. También habría requerido obtener SBOM para "cualquier software, firmware o producto en uso por el gobierno de los Estados Unidos". Aunque finalmente no se aprobó, esta ley generó conciencia al gobierno y estimuló una legislación posterior como la "Ley de mejora de la seguridad cibernética de Internet de las cosas de 2017". [11] [12]

La Orden Ejecutiva de EE. UU. Sobre la Mejora de la Ciberseguridad de la Nación del 12 de mayo de 2021 [13] ordenó al NIST emitir una guía dentro de los 90 días para "incluir estándares, procedimientos o criterios relacionados con" varios temas con el fin de "mejorar la seguridad de la cadena de suministro de software". , "incluido" proporcionar al comprador una Lista de materiales de software (SBOM) para cada producto ". También se ordenó en un plazo de 60 días que la NTIA "publique elementos mínimos para un SBOM".

Los elementos mínimos de la NTIA se publicaron el 12 de julio de 2021, [14] y también "describe los casos de uso de SBOM para una mayor transparencia en la cadena de suministro de software y establece opciones para la evolución futura".

Referencias

  1. ^ "Lista de materiales del software" . ntia.gov . Consultado el 25 de enero de 2021 .
  2. ^ "Asegurar un mundo móvil" (PDF) . Crosstalkonline.org . Consultado el 12 de junio de 2015 .
  3. ^ "[Parte 2] Código, automóviles y Congreso: un momento para la gestión de la cadena de suministro cibernética" . Consultado el 12 de junio de 2015 .
  4. ^ "Código, coches y Congreso: un momento para la gestión de la cadena de suministro cibernética" . Consultado el 12 de junio de 2015 .
  5. ^ "Lista de materiales de software mejora la gestión de la propiedad intelectual" . Diseño de Computación Embebida . Consultado el 12 de junio de 2015 .
  6. ^ "Uso de Excel para la gestión de listas de materiales (BOM)" . Consultado el 2 de agosto de 2018 .
  7. ^ "Tipos de control de seguridad de software adecuados para proveedores de productos y servicios de terceros" (PDF) . Docs.ismgcorp.com . Consultado el 12 de junio de 2015 .
  8. ^ "Top 10 2013-A9-Using componentes con vulnerabilidades conocidas" . Consultado el 12 de junio de 2015 .
  9. ^ "Riesgos de seguridad cibernética en la cadena de suministro" (PDF) . Cert.gov.uk . Consultado el 28 de julio de 2020 .
  10. ^ "HR5793 - 113 ° Congreso (2013-2014): Ley de transparencia y gestión de la cadena de suministro cibernético de 2014 - Congress.gov - Biblioteca del Congreso" . Consultado el 12 de junio de 2015 .
  11. ^ "Ley de mejora de la ciberseguridad de Internet de las cosas de 2017" (PDF) . Consultado el 26 de febrero de 2020 .
  12. ^ "Ley de mejora de la ciberseguridad de 2017: el fantasma del pasado del Congreso" . Consultado el 26 de febrero de 2020 .
  13. ^ "Orden ejecutiva sobre la mejora de la ciberseguridad de la nación" . La Casa Blanca . 2021-05-12 . Consultado el 12 de junio de 2021 .
  14. ^ "Orden ejecutiva sobre la mejora de la ciberseguridad de la nación" . NTIA.gov . 2021-07-12 . Consultado el 17 de julio de 2021 .