A agência de segurança cibernética do governo dos EUA, CISA, revelou uma nova estrutura de lista de materiais de hardware (HBOM) que oferece uma maneira consistente e repetível para os fornecedores se comunicarem com os compradores sobre componentes de hardware em produtos físicos.

A nova estrutura fornece o que a CISA descreve como “uma estrutura confiável e previsível para HBOMs” e um conjunto de campos de dados claramente definidos de componentes de HBOM e seus atributos.

“Com nomenclatura padronizada, informações abrangentes e orientações claras, as organizações podem se proteger contra riscos econômicos e de segurança, aumentando a resiliência geral”, disse a diretora assistente da CISA, Mona Harrington.

Harrington disse que Estrutura HBOM [.pdf] inclui uma metodologia de nomenclatura consistente para atributos de componentes, um formato para identificar e fornecer informações sobre os diferentes tipos de componentes e orientação sobre quais informações do HBOM são apropriadas, dependendo da finalidade para a qual o HBOM será usado.

A estrutura HBOM, criada pela Força-Tarefa de Gerenciamento de Risco da Cadeia de Abastecimento de Tecnologia da Informação e Comunicação (TIC), pretende ser flexível e permitir que compradores e fornecedores a adaptem às suas circunstâncias ou casos de uso específicos.

A agência disse que o objetivo é capturar as informações do HBOM dos componentes a serem incluídas no momento da venda ou troca de mercadorias e observou que as partes interessadas podem precisar atualizar o HBOM durante o ciclo de vida de um projeto.

A CISA disse que a estrutura estabelece um formato que pode ser usado para garantir a consistência entre os HBOMs e para aumentar a facilidade com que fornecedores e compradores produzem e usam HBOMs.

Também inclui um método para descrever o “aninhamento” de componentes quando um fornecedor compra uma montagem de terceiros, e essa montagem requer informações adicionais do HBOM para identificar adequadamente os problemas da cadeia de abastecimento que estão mais acima na cadeia de abastecimento.

A estrutura também fornece uma taxonomia de atributos de componentes/entradas que, dependendo do uso para o qual o comprador pretende usar um HBOM, pode ser apropriado incluir em um HBOM.

A segurança da cadeia de abastecimento, especialmente no domínio do software, atraiu grande atenção do governo, levando a mandatos em torno da criação e entrega de SBOMs (lista de materiais de software) para ajudar a mitigar os ataques à cadeia de abastecimento.

O mandato do SBOM foi incluído num documento emitido em maio de 2021, enviado para compreender as ramificações e preparar-se para os efeitos secundários a jusante.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.