A agência de segurança cibernética dos EUA CISA, a NSA e o Escritório do Diretor de Inteligência Nacional (ODNI) divulgaram na quinta-feira novas orientações para vendedores e fornecedores de software sobre como proteger a cadeia de fornecimento de software.
O documento (PDF) pode ajudar as organizações a avaliar suas medidas de segurança ao longo do ciclo de vida do software, incluindo o gerenciamento de software de código aberto (OSS) e listas de materiais de software (SBOM), e fornece recomendações que podem ser aplicadas em diferentes fases da cadeia de fornecimento de software.
O novo aconselhamento ocorre cerca de um ano depois que CISA, NSA e ODNI lançaram uma orientação conjunta em três partes sobre como desenvolvedores de software, fornecedores e clientes podem proteger a cadeia de suprimentos e visa aumentar a resiliência do desenvolvimento, produção, distribuição e gestão processos.
“Todas as organizações são incentivadas a gerenciar e mitigar riscos de forma proativa como parte da evolução das práticas seguras de desenvolvimento de software. O papel de uma organização como desenvolvedora, fornecedora ou cliente de software no ciclo de vida da cadeia de fornecimento de software continuará a determinar a forma e o escopo desta responsabilidade”, observam as três agências.
O documento fornece orientação sobre a implementação do processamento SBOM, avaliação do risco de vulnerabilidades identificadas, tomada de medidas específicas para evitar a exploração de uma vulnerabilidade, solicitação de novos SBOMs para software atualizado e outras ações que as organizações devem tomar quando se trata de consumo eficiente de SBOM.
De acordo com a nova orientação, os SBOMs representam um componente central na segurança de software e na gestão de riscos da cadeia de fornecimento de software, e podem ser correlacionados com outros dados para aumentar o seu valor e âmbito e para criar pontuações de risco que permitam uma acção atempada.
“Um SBOM transmite informações sobre o que está no software. O simples facto de saber que um fornecedor pode fornecer um SBOM de qualidade oferece benefícios ao utilizador do software, uma vez que oferece um certo nível de confiança de que o fornecedor de software terá maior probabilidade de ser capaz de responder às preocupações da cadeia de abastecimento”, lê-se no documento.
Os SBOMs, observam as três agências, tornaram-se extremamente importantes, pois mostram se o software está atualizado, fornecem informações sobre o uso de software de código aberto, ajudam a garantir a conformidade e podem ajudar a reduzir a janela de exposição, uma vez que uma vulnerabilidade tenha sido detectada. foi identificado.
Os clientes precisam consumir milhares de SBOMs para entender sua exposição ao risco, e aproveitar totalmente o potencial dos SBOMs requer processamento, análise e correlação automatizados de SBOM, bem como transformar dados SBOM em inteligência de segurança, nota CISA, NSA e ODNI.
“Os dados dos SBOMs alimentam muitos fluxos de trabalho empresariais, incluindo compras, gerenciamento de ativos, gerenciamento de vulnerabilidades e funções abrangentes de gerenciamento de risco e conformidade da cadeia de suprimentos. Portanto, o SBOM é muitas vezes menos útil como um arquivo do que como uma coleção de dados que podem ser analisados, extraídos e carregados em processos automatizados”, diz a orientação.