Sigurnost softverskog lanca opskrbe i uspon SBOM standarda

Nakon niza napada i upozorenja koja su posljednjih godina pokazala koliko je softverski lanac opskrbe postao ranjiv, transparentnost komponenti više nije tehnički detalj nego temelj kibernetičke otpornosti. Zato je SBOM, odnosno Software Bill of Materials, iz pomoćnog dokumenta prerastao u jedan od ključnih alata suvremene sigurnosti softvera. CISA, NSA i još 19 međunarodnih partnera poručili su da je široka primjena SBOM-a nezaobilazan korak prema secure-by-design softveru, jačanju otpornosti i mjerljivom smanjenju rizika u digitalnom lancu opskrbe. U praksi to znači da proizvođači i kupci softvera sve manje pristaju na “crne kutije”, a sve više traže jasan, strojno čitljiv pregled komponenti, ovisnosti i njihovih međusobnih odnosa.

Važno je pritom izbjeći pojednostavljenje da je SBOM već 2026. obvezan za sve dobavljače javnom sektoru u Europskoj uniji i SAD-u. To nisam mogao potvrditi u toj širini. U Europskoj uniji Cyber Resilience Act izravno ulazi u područje softverske transparentnosti i SBOM-a, ali je Europska komisija u ožujku 2026. jasno navela da glavne obveze iz Akta počinju vrijediti 11. prosinca 2027., dok obveze izvješćivanja kreću 11. rujna 2026. U Sjedinjenim Državama situacija je slična po tome što pritisak snažno raste, ali kroz sektorske i nabavne mehanizme, a ne kroz jednu jedinstvenu blanket-obvezu za sav softver. Tako FDA za cyber medical devices izričito traži SBOM u premarket dokumentaciji, dok CISA u smjernicama za nabavu softvera od dobavljača izričito traži odgovor o tome postoji li strojno čitljiv SBOM koji zadovoljava NTIA minimum.

Ključna promjena nije samo u tome da SBOM postoji, nego u tome kakav on mora biti da bi imao stvarnu sigurnosnu vrijednost. NTIA naglašava da se puni učinak može postići samo ako je SBOM strojno čitljiv, povezan s automatizacijom i alatima koji ga mogu obrađivati bez ručnog rada. Drugim riječima, statičan PDF ili tablica nisu dovoljni za ozbiljnu obranu. CISA dodatno ističe da se podaci iz SBOM-a trebaju koristiti u više poslovnih i sigurnosnih procesa, od nabave i upravljanja imovinom do upravljanja ranjivostima i ukupnim rizikom lanca opskrbe. Zato se u zrelijim organizacijama SBOM sve manje promatra kao formalnost za audit, a sve više kao živi podatkovni sloj unutar DevSecOps i SecOps procesa.

U tom kontekstu posebnu važnost dobiva VEX, odnosno Vulnerability Exploitability eXchange. NTIA objašnjava da je riječ o mehanizmu kojim dobavljač ili druga relevantna strana može jasno komunicirati je li određeni proizvod stvarno pogođen poznatom ranjivošću ili nije. To je ključno zato što sama prisutnost ranjive biblioteke u SBOM-u ne znači automatski i stvarnu izloženost u produkciji. VEX zato smanjuje buku u sigurnosnim timovima, ubrzava određivanje prioriteta i pomaže da se pažnja usmjeri na ranjivosti koje su doista iskoristive u konkretnoj implementaciji. Kada se tome doda secure-by-design pristup, koji CISA definira kao hitan zaokret prema proizvodima koji su sigurni već pri isporuci, postaje jasno da SBOM i VEX zajedno mijenjaju način na koji se softver razvija, procjenjuje i kupuje. Za hrvatske razvojne timove to znači strože DevSecOps procese, bolju evidenciju komponenti i veću spremnost za međunarodne projekte i natječaje u kojima se transparentnost softverskog lanca sve češće očekuje kao standard, a ne kao dodatna vrijednost.