white paper

Las amenazas de software tienen un denominador común: son devastadoras

Imagen de un candado digital con código para prevenir ciberataques

Las vulnerabilidades de software son muy similares a un iceberg. Como en la punta de un iceberg, el equipo de desarrollo de software tiene una gran visibilidad del código fuente del software que está desarrollando. Sin embargo, gran parte de cualquier producto de software no es visible para el equipo de desarrollo aunque sí que cuenta con una visibilidad completa del código que ha creado. Además del código fuente gestionado por el equipo de desarrollo de software, las compilaciones típicas incluyen código fuente y objetos procedentes de bibliotecas externas, proyectos de código abierto y proveedores de terceros. Gran parte de estos elementos, no obstante, no son del todo visibles.

¿Qué es una lista de materiales de software (SBOM)?

Cada vez más, el software es una parte fundamental de los productos, por lo que ahora es más importante que nunca saber cómo se crea. Suele representarse como un único componente en una EBOM o MBOM sin ningún tipo de desglose de cómo se compila. La SBOM identifica todos los componentes que conforman una compilación de software y el entorno en el que se ha realizado. Identifica y enumera los componentes de software dentro de un producto de software, incluidos metadatos importantes sobre cada componente y la estructura de las relaciones entre ellos.

Identifica las amenazas de software con la SBOM

Un elemento clave en la protección de una empresa es tener un acceso fácil a los componentes que conforman el software. Proporciona la base para identificar las amenazas y vulnerabilidades que pueden incorporarse a los productos de software mediante la comparación constante de SBOMs con bases de datos de vulnerabilidades publicadas. Identificar y responder a las amenazas y vulnerabilidades de los productos de software es una funcionalidad esencial en casi todas las industrias.

Herramientas de la SBOM y del ciclo de vida de las aplicaciones (ALM)

La generación de la SBOM se incorpora en el canal de implementación continua/integración continua (CI/CD) que se gestiona como proceso integral del dominio de gestión del ciclo de vida de las aplicaciones (ALM). Los procesos de ALM ofrecen un seguimiento completo durante el ciclo de vida.

La gestión de amenazas y vulnerabilidades de software incluye la necesidad de identificar los riesgos y desarrollar los requisitos para su mitigación. Los requisitos para la gestión de riesgos se rastrean directamente en los elementos de metadatos que impulsan la creación de la SBOM. Esta trazabilidad, combinada con la verificación respecto a una base de datos de vulnerabilidades, crea una solución de bucle cerrado para la gestión de amenazas y vulnerabilidades del software.

Compartir

Recursos relacionados