SBOM

17 декабря, 2025, 15:20

SBOM (Software Bill of Materials, Спецификация состава программного обеспечения) — это структурированный, машиночитаемый перечень всех компонентов, библиотек, модулей и зависимостей, из которых состоит программное обеспечение, включая информацию об их версиях, происхождении (поставщиках) и лицензиях. SBOM обеспечивает прозрачность и прослеживаемость в цепочке поставок ПО, что является критически важным для управления киберрисками, уязвимостями и соответствием требованиям.

Возможности и ключевые элементы SBOM:

  • Полная инвентаризация компонентов: Содержит детализированный список всех прямых и транзитивных (косвенных) зависимостей, включая сторонние и открытые библиотеки, фреймворки, инструменты и их точные версии.
  • Идентификация компонентов и поставщиков: Для каждого компонента указывается:
    • Имя и версия компонента (например, log4j-core 2.14.1).
    • Уникальный идентификатор (например, PURL — Package URL, CPE — Common Platform Enumeration).
    • Поставщик или источник (официальный репозиторий, вендор).
    • Хэши файлов (SHA-256, MD5) для проверки целостности и идентификации.
  • Управление уязвимостями: Наличие SBOM позволяет организациям быстро и точно определять, затрагивают ли публично раскрытые уязвимости используемые в их продуктах компоненты, и оценивать область воздействия.
  • Анализ лицензионных обязательств: Четкое отображение типов лицензий всех компонентов помогает избежать юридических рисков, связанных с несовместимостью лицензий или нарушением их условий.
  • Поддержка жизненного цикла и обновлений: Позволяет эффективно отслеживать устаревшие компоненты, планировать миграцию на новые версии и управлять исправлениями (патчами).
  • Форматы и стандарты: Существуют два основных открытых стандарта для создания SBOM:
    • SPDX (Software Package Data Exchange) — разработан Linux Foundation, наиболее полный и детализированный.
    • CycloneDX — изначально создан для безопасности приложений, часто считается более легковесным и практичным.

Требования к предоставлению и использованию SBOM становятся глобальным регуляторным трендом. Их использование предписано в Исполнительном указе США по кибербезопасности, рекомендациях ENISA и все чаще требуется заказчиками ПО как условие контракта. SBOM является фундаментом для продвинутых практик, таких как VEX (Vulnerability Exploitability eXchange) — документ, который указывает, является ли конкретная уязвимость в компоненте из SBOM фактически эксплуатируемой в данном продукте. Генерация и поддержание актуального SBOM — это задача, которая решается с помощью SCA-анализаторов (Software Composition Analysis) и интеграции в процессы CI/CD.

Продолжение ниже

Боссы российского кибербеза

Упоминания