Zranitelná místa softwaru se podobají ledovci. Stejně jako je snadno vidět špička ledovce, tým pro vývoj softwaru má dobrý přehled o zdrojovém kódu softwaru, který vyvíjí. Velká část softwarového produktu je ale „pod hladinou“ a není pro vývojový tým viditelná. Vývojový tým má kompletní přehled o kódu, který vytváří. Kromě zdrojového kódu, který tým vývojářů spravuje, zahrnují typická sestavení softwaru zdrojový kód a objekty pocházející z externích knihoven, opensourcových projektů a od dodavatelů třetích stran. Většina z toho je pro tým zabývající se vývojem softwarových produktů nepřehledná.
Software je stále častěji klíčovou součástí dnešních produktů, a proto je nyní důležitější než kdy jindy vědět, jak je vytvořen. Software je v EBOM nebo MBOM často reprezentován jako jediná komponenta, aniž by bylo jakkoli rozepsáno, jakým způsobem je tento software vytvořen. Softwarový kusovník (SBOM) identifikuje všechny součásti, které tvoří sestavený software, a prostředí, ve kterém byl tento software vytvořen. SBOM identifikuje a uvádí softwarové komponenty v rámci vytvořeného softwarového produktu včetně důležitých metadat o každé komponentě a také strukturu vztahů mezi těmito komponentami.
Klíčovou součástí ochrany organizace před bezpečnostními riziky je snadný přístup ke komponentám, které tvoří software. SBOM poskytuje základ pro identifikaci hrozeb a zranitelností, které mohou být začleněny do softwarových produktů, a to neustálým porovnáváním SBOM s publikovanými databázemi bezpečnostních hrozeb. Prakticky v každém odvětví je identifikace hrozeb a zranitelností softwarových produktů a reakce na ně nezbytnou schopností.
Generování SBOM je začleněno do kontinuální integrace/nasazení (CI/CD), které je řízeno jako nedílný proces v rámci správy životního cyklu aplikace (ALM). Procesy ALM nabízejí komplexní sledování napříč celým životním cyklem.
Řízení softwarových hrozeb a zranitelností zahrnuje potřebu identifikovat rizika a vypracovat požadavky na jejich zmírnění. Požadavky na řízení rizik lze vysledovat přímo k prvkům metadat, které řídí tvorbu SBOM. Tato sledovatelnost – v kombinaci s ověřováním v databázi zranitelností – vytváří uzavřenou smyčku pro řešení správy softwarových hrozeb a zranitelností.
Software is increasingly a key part of today’s products, so it is now more important than ever to know how it is built. Software is often represented as a single component in an EBOM or MBOM without any breakdown of how that software is built. A software bill-of-materials (SBOM) identifies all the components that make up a software build and the environment in which that software was built. The SBOM identifies and lists the software components within a built software product including important metadata on each component and the structure of the relationships between those components.
A key component for protecting an organization from vulnerabilities is ready access to the components that make up the software. The SBOM provides the foundation for identifying threats and vulnerabilities that may be incorporated into software products by constantly comparing SBOMs with published vulnerability databases. In virtually every industry, identifying and responding to threats and vulnerabilities in software products is an essential capability.
Generation of the SBOM is incorporated into the continuous integration/continuous deployment (CI/CD) pipeline that is managed as an integral process of the application lifecycle management (ALM) domain. ALM processes offer comprehensive tracking across the lifecycle.
Managing software threats and vulnerabilities includes the need to identify risks and develop requirements for risk mitigation. The requirements for risk management are traced directly to the metadata elements that drive SBOM creation. This traceability, combined with verification against a vulnerability database, creates a closed-loop solution for software threats and vulnerability management.