A agência de segurança cibernética do governo dos EUA, CISA, revelou uma nova estrutura de lista de materiais de hardware (HBOM) que oferece uma maneira consistente e repetível para os fornecedores se comunicarem com os compradores sobre componentes de hardware em produtos físicos.
A nova estrutura fornece o que a CISA descreve como “uma estrutura confiável e previsível para HBOMs” e um conjunto de campos de dados claramente definidos de componentes de HBOM e seus atributos.
“Com nomenclatura padronizada, informações abrangentes e orientações claras, as organizações podem se proteger contra riscos econômicos e de segurança, aumentando a resiliência geral”, disse a diretora assistente da CISA, Mona Harrington.
Harrington disse que Estrutura HBOM [.pdf] inclui uma metodologia de nomenclatura consistente para atributos de componentes, um formato para identificar e fornecer informações sobre os diferentes tipos de componentes e orientação sobre quais informações do HBOM são apropriadas, dependendo da finalidade para a qual o HBOM será usado.
A estrutura HBOM, criada pela Força-Tarefa de Gerenciamento de Risco da Cadeia de Abastecimento de Tecnologia da Informação e Comunicação (TIC), pretende ser flexível e permitir que compradores e fornecedores a adaptem às suas circunstâncias ou casos de uso específicos.
A agência disse que o objetivo é capturar as informações do HBOM dos componentes a serem incluídas no momento da venda ou troca de mercadorias e observou que as partes interessadas podem precisar atualizar o HBOM durante o ciclo de vida de um projeto.
A CISA disse que a estrutura estabelece um formato que pode ser usado para garantir a consistência entre os HBOMs e para aumentar a facilidade com que fornecedores e compradores produzem e usam HBOMs.
Também inclui um método para descrever o “aninhamento” de componentes quando um fornecedor compra uma montagem de terceiros, e essa montagem requer informações adicionais do HBOM para identificar adequadamente os problemas da cadeia de abastecimento que estão mais acima na cadeia de abastecimento.
A estrutura também fornece uma taxonomia de atributos de componentes/entradas que, dependendo do uso para o qual o comprador pretende usar um HBOM, pode ser apropriado incluir em um HBOM.
A segurança da cadeia de abastecimento, especialmente no domínio do software, atraiu grande atenção do governo, levando a mandatos em torno da criação e entrega de SBOMs (lista de materiais de software) para ajudar a mitigar os ataques à cadeia de abastecimento.
O mandato do SBOM foi incluído num documento emitido em maio de 2021, enviado para compreender as ramificações e preparar-se para os efeitos secundários a jusante.