Desde o nosso blip inicial em 2021, a gera??o de lista de materiais de software (SBOM) passou de uma pr¨¢tica emergente para um um padr?o sensato em nossos projetos. O ecossistema amadureceu significativamente, oferecendo um conjunto de ferramentas robusto e integra??o perfeita com CI/CD. Ferramentas como Syft, Trivy e Snyk fornecem uma gera??o de SBOM, desde c¨®digo fonte at¨¦ imagens de cont¨ºineres e an¨¢lises de vulnerabilidades. Plataformas como a FOSSA e a Chainloop aprimoram a gest?o de riscos de seguran?a ao se integrarem com o fluxo de desenvolvimento e aplicarem pol¨ªticas de seguran?a. Embora um padr?o universal de SBOM ainda esteja evoluindo, o amplo suporte ao e ao CycloneDX minimizou os desafios de ado??o. Sistemas de IA tamb¨¦m exigem SBOMs, como demonstrado pelo do governo do Reino Unido e pelo da CISA. Continuaremos monitorando os avan?os nesse espa?o.
Com a press?o cont¨ªnua para manter os sistemas seguros e nenhum sinal de recuo no cen¨¢rio geral de amea?as, uma lista de materiais de software (Software Bill of Materials ou SBOM) leg¨ªvel por m¨¢quina pode ajudar os times a se manterem atualizados sobre os problemas de seguran?a nas bibliotecas das quais dependem. Desde que a original foi publicada, a ind¨²stria compreendeu o que ¨¦ uma SBOM e como cri¨¢-la. O National Institute of Standards and Technology (NIST), por exemplo, agora tem mais sobre como cumprir a ordem. Temos experi¨ºncia de produ??o usando SBOMs em projetos que v?o de pequenas empresas a grandes multinacionais e at¨¦ departamentos governamentais, e temos convic??o de que trazem benef¨ªcios. Mais organiza??es e governos devem considerar exigir SBOMs para software em uso. A t¨¦cnica ser¨¢ fortalecida por novas ferramentas que continuam surgindo, como que alinha automaticamente as depend¨ºncias da biblioteca de uma aplica??o ¨¤quelas listadas na SBOM.
Com a press?o cont¨ªnua para manter os sistemas seguros e nenhum sinal de recuo no cen¨¢rio geral de amea?as, uma lista de materiais de software (software bill of materials ou SBOM) leg¨ªvel por m¨¢quina pode ajudar os times a se manterem atualizados sobre os problemas de seguran?a em suas bibliotecas de confian?a. A recente explora??o remota de dia zero do foi cr¨ªtica e teve amplo alcance; se os times tivessem uma SBOM pronta, poderiam ter verificado e corrigido rapidamente. Agora, temos experi¨ºncias usando SBOMs em produ??o em projetos que v?o de pequenas empresas a grandes multinacionais e at¨¦ departamentos governamentais, e temos convic??o de que as listas trazem benef¨ªcios. Ferramentas como Syft facilitam o uso de uma SBOM para detec??o de vulnerabilidades.
Em maio de 2021, a Casa Branca dos EUA publicou sua . O documento apresenta v¨¢rios mandatos t¨¦cnicos relacionados a itens que apresentamos em edi??es anteriores do Radar, como arquitetura de confian?a zero e digitaliza??o de conformidade automatizada usando pol¨ªtica de seguran?a como c¨®digo. Grande parte do documento ¨¦ dedicado a melhorar a seguran?a da cadeia de suprimentos de software. Um item em particular que chamou nossa aten??o foi o requisito de que o software governamental deveria conter uma lista de materiais de software (Software Bill of Materials ou SBOM) leg¨ªvel por m¨¢quina, definida como "um registro formal contendo os detalhes e as rela??es da cadeia de suprimentos de v¨¢rios componentes usados no desenvolvimento de software." Em outras palavras, a lista deve detalhar n?o apenas os componentes enviados, mas tamb¨¦m as ferramentas e os frameworks usados para entregar o software. Esse pedido tem o potencial de inaugurar uma nova era de transpar¨ºncia e abertura no desenvolvimento de software. Isso, sem d¨²vida, ter¨¢ um impacto sobre quem cria software como profiss?o. Muitos, sen?o todos os produtos de software produzidos hoje, cont¨ºm componentes de c¨®digo aberto ou os empregam no processo de desenvolvimento. Frequentemente, o p¨²blico consumidor n?o tem como saber qual vers?o de qual pacote pode ter um impacto na seguran?a de seu produto. Em vez disso, contam com os alertas de seguran?a e patches oferecidos pela fornecedora de varejo. Essa ordem executiva garantir¨¢ que uma descri??o expl¨ªcita de todos os componentes seja disponibilizada ao p¨²blico consumidor, habilitando-o a implementar seus pr¨®prios controles de seguran?a. E como a SBOM ¨¦ leg¨ªvel por m¨¢quina, esses controles podem ser automatizados. Notamos que esse movimento tamb¨¦m representa uma mudan?a no sentido de adotar o software de c¨®digo aberto e abordar de forma pr¨¢tica os riscos e benef¨ªcios de seguran?a oferecidos.
