Lista de materiales de software
Veamos por qué los desarrolladores deberían crear una lista de materiales de software (SBOM) en aras de la transparencia y la seguridad de sus aplicaciones.
Lista de materiales de software
Abre tu IDE favorito, entra en tu proyecto más reciente y abre su respectivo archivo de bloqueo (package-lock.json, go.mod, Pipfile.locketc.). Es probable que encuentres cientos o miles de paquetes y bibliotecas de código abierto, lo que ilustra exactamente la difusión de las partes no vistas y desconocidas de tu aplicación.
Una lista de materiales de software (SBOM) es un inventario similar de todos los componentes de software, bibliotecas y dependencias de los que depende su aplicación, pero va más allá de los nombres de los paquetes y las versiones fijadas. Mediante la agregación de datos sobre licencias de código abierto y más, un SBOM le da una visibilidad completa, que puede utilizar para prevenir ataques a la cadena de suministro o identificar nuevas vulnerabilidades en una dependencia de dos, tres o más capas de profundidad.
es el coste medio de las violaciones de datos que implican dependencias de terceros como vector de ataque principal.
IBM
contienen herramientas y bibliotecas de código abierto con al menos una vulnerabilidad activa.
Synopsys
descubierto entre las bibliotecas populares de código abierto, con 1 de cada 8 descargas conteniendo riesgos conocidos y evitables.
Sonatype
Ejemplo de lista de materiales de software y su funcionamiento
Un SBOM se presenta en muchos formatos de salida y estructuras de datos diferentes, pero en última instancia es una base de datos de artefactos, incluidos sus nombres de paquetes, versiones, fuentes, licencias, URL y más. Los SBOM también identifican la relación entre dos artefactos para dar transparencia a la red de dependencias de la que depende su aplicación.
Aunque las SBOM no son especialmente útiles para desplazarse por ellas, son enormemente útiles en la gestión de vulnerabilidades más amplia de su aplicación. Puedes introducir los SBOM de tus aplicaciones en otras herramientas que ofrezcan análisis de dependencias, detección de malware o datos de fin de vida útil (EOL) para asegurarte de que sacas a la luz todas las vulnerabilidades posibles de tu aplicación, no solo las superficiales.
¿Cómo ayuda a los desarrolladores disponer de una lista de materiales de software?
A la hora de solucionar problemas sobre la marcha, un SBOM actualizado le ayuda a identificar exactamente qué paquete es el responsable, incluso si se encuentra a dos o tres capas de profundidad.
Con una comprensión completa de los componentes que su aplicación necesita para funcionar eficazmente, puede realizar una mitigación de riesgos más proactiva identificando posibles puntos débiles y priorizando las correcciones o migraciones a dependencias más seguras.
Con un SBOM, sus equipos operativos y de desarrollo disponen de una única fuente de información para colaborar en los problemas o priorizar soluciones proactivas a los problemas actuales.
Los SBOM ayudan a identificar cambios en los metadatos de una dependencia de código abierto, lo que podría dar pistas sobre un ataque a la cadena de suministro, en el que se han inyectado programas maliciosos en nuevos paquetes (¿recuerda el backdoor XZ Utils?).
Determinados sectores y entornos normativos exigen un inventario completo de las condiciones de licencia y los inventarios de aprovisionamiento: con un SBOM bien mantenido y completo, puede garantizar el cumplimiento y evitar problemas legales.
Implantación de una lista de materiales de software: visión general
La generación de SBOM es accesible para la mayoría de los desarrolladores en su entorno de trabajo local; una opción es una herramienta de código abierto, como Syft, para investigar cualquier imagen de contenedor o sistema de archivos local:
Syft localmente usando su one-liner, Homebrew, o una versión binaria.O con aikido
Mejores prácticas para gestionar eficazmente su lista de materiales de software
Cree sus primeros SBOM lo antes posible dentro de su proyecto, incluso si no ha elegido completamente las plataformas de seguridad de su aplicación. Cuanto más historial tenga, más fácil será rastrear los cambios que afecten negativamente a su aplicación.
Aunque las herramientas CLI son fáciles de instalar en su estación de trabajo local, en última instancia le dejan con artefactos que debe almacenar y agregar en otro lugar para generar información real. Como mínimo, incluya la generación de SBOM en su proceso CI/CD para asegurarse de que nunca olvida una ejecución manual.
El uso de un formato estándar del sector como CycloneDX o SPDX le permitirá integrarse con más software de seguridad y compartir las SBOM con socios o reguladores.
Empiece a crear una lista de materiales de software gratis
Conecte su plataforma Git a Aikido para iniciar una lista de materiales de software con triaje instantáneo, priorización inteligente y contexto preciso para una rápida remediación.
Primeros resultados en 60 segundos con acceso de sólo lectura.
SOC2 Tipo 2 y
Certificación ISO27001:2022
