ReversingLabs pruža opsežnu podršku za xBOM po međunarodnom standardu CycloneDX

Sigurnosna kompanija ReversingLabs objavila je da pruža naprednu podršku za prošireni popis komponenti (eXtended Bill of Materials, xBOM) putem svog proizvoda Spectra Assure. 

Novi kapaciteti uključuju popis kriptografskih komponenti (Cryptographic Bill of Materials, CBOM), popis SaaS komponenti (Software-as-a-Service Bill of Materials, SaaSBOM), i popis komponenti strojnog učenja (Machine Learning Bill of Materials, ML-BOM), što je prvi takav popis u industriji za potpuno kompilirani komercijalni softver. Radi se o inovaciji koja i proizvođačima i kupcima softvera pruža do sada neviđen uvid u komponente, servise i rizike skrivene u sve složenijim ekosustavima softvera.

CycloneDX neprofitne zajednice OWASP je obuhvatni sigurnosni standard za popis komponenti (Bill of Materials, BOM) u lancu nabave softvera, a s ciljem smanjenja kibernetičkih rizika. Riječ je o međunarodnom standardu koji je Ecma International, neprofitna organizacija za razvoj standarda, ratificirala kao ECMA-424.

S razvojem sigurnosti lanca nabave softvera, pokazuje se da tradicionalnim SBOM-ovima - koji popisuju samo sastavnice u softveru - nedostaje kontekst te ne čine mnogo po pitanju adresiranja novih rizika. SAFE izvješće koje pruža Spectra Assure uključuje i najopsežniji SBOM i procjenu rizika aplikacije te prepoznaje malware, neovlašteno mijenjanje softvera, sumnjiva ponašanja i drugo. S proširenom podrškom za xBOM, Spectra Assure sada nudi sveobuhvatne popise s procjenama sigurnosti za kriptografsku imovinu, SaaS ovisnosti i modele strojnog učenja.

Proizvođači imaju dodatnu mogućnost uređivanja SBOM komponenti, odnosno deklariranja SaaS usluga i modela strojnog učenja. Sposobnost da se ide dalje od SBOM-a je ključna jer se poduzeća sve više suočavaju s izazovima i rizicima kvantnog računarstva, povezanih usluga u oblaku i ranjivosti koje pokreće AI.

Kako softver postaje sve inteligentniji i međusobno povezaniji, organizacije moraju gledati dalje od tradicionalnih SBOM popisa, ne bi li zadovoljile sve veće zahtjeve za transparentnošću. xBOM mogućnosti koje su sada dostupne putem Spectre Assure omogućuju tvrtkama:

• Pripremu za prijetnje kvantnog računarstva: CBOM pruža uvid u kriptografsku imovinu koja bi se mogla naći na meti s napretkom kvantnog računarstva.
• Razumijevanje SaaS ovisnosti: SaaSBOM pruža uvid u eksterne usluge na koje se softver oslanja, te umanjuje rizike koji proizlaze iz integracija s trećim stranama.
• Uvid u lanac opskrbe umjetnom inteligencijom: ML-BOM identificira potencijalno zlonamjerne modele otvorenog koda prije nego što se integriraju u proizvode ili implementiraju u organizaciju.

Podrška za nove xBOM mogućnosti pomoći će proizvođačima i poslovnim kupcima softvera da se pridržavaju sve strožih zahtjeva za usklađenošću. Oni uključuju:

• NIST-ov Okvir za upravljanje AI rizikom (AI Risk Management Framework): ML-BOM pomaže u procjeni, upravljanju i ublažavanju rizika tijekom životnog ciklusa AI-ja.
• Akt o umjetnoj inteligenciji Europske unije: ML-BOM omogućuje usklađenost sa strogim obvezama temeljenim na riziku za sustave umjetne inteligencije u sektorima s velikim utjecajem.
• ISO/IEC 42001 – ML-BOM pomaže s prvim međunarodnim standardom za sustave upravljanja umjetnom inteligencijom, koji pokriva upravljanje, transparentnost i operativne kontrole.
• NIST 1800 38b – kroz kriptografske uvide, CBOM olakšava pripremu za post-kvantni kontekst.
• Uredbu o digitalnoj operativnoj otpornosti (DORA) Europske unije: omogućuje pravilnu analizu vlasničkog softvera trećih strana, prije nego što se implementira.
• Akt o kibernetičkoj otpornosti (CRA) Europske unije: omogućuje proizvođačima softvera da generiraju najopsežniji SBOM/xBOM.

Tradicionalno, poslovni kupci bili su relativno nemoćni po pitanju sigurnosti lanca nabave softvera. Iako odgovorni za sigurnost softvera kojeg kupnjom unose u organizaciju, nisu imali pravi mehanizam kontrole. Umjesto toga, oslanjali su se na model inherentnog povjerenja, baziran na sigurnosnim upitnicima i nepotpunom uvidu u softverske komponente, pridružene servise, a sada i AI, ML i kriptografske komponente.

Uz Spectra Assure, sada mogu dobiti ove informacije bez oslanjanja na svog dobavljača. Izvješće SAFE putem Spectre Assure daje kompletan xBOM zajedno sa svim kritičnim rizicima - bez potrebe za izvornim kodom.

Nedostatak transparentnosti oko softverskih komponenti i rizika usporava kupnju i implementaciju softvera, što utječe i na proizvođače i na kupce softvera.

"Naša podrška za xBOM predstavlja novu dimenziju transparentnosti za softver. Uz xBOM, izdavači mogu objaviti, a potrošači mogu verificirati tvrdnje o sigurnosti softvera. Ovo je prekretnica za softversku industriju. Kao dobavljač softvera, i predobro sam upoznat s upitnicima i tablicama koje traže timovi za sigurnost i nabavu, a koji ne daju stvarni uvid u stvarni rizik aplikacije. Podrška za xBOM proširuje kapacitete Spectre Assure za brzu isporuku svih kritičnih analiza i uvida, eliminirajući potrebu za ispunjavanjem upitnika i štedeći vrijeme", izjavio je Tomislav Peričin, glavni softverski arhitekt i suosnivač u ReversingLabsa.