cadena de suministro de software

Componentes, bibliotecas, herramientas y procesos utilizados para desarrollar, construir y publicar un artefacto de software.

Una cadena de suministro de software se compone de componentes, bibliotecas, herramientas y procesos utilizados para desarrollar, construir y publicar un artefacto de software. ^[1]

Los proveedores de software suelen crear productos ensamblando componentes de software propietarios y de código abierto . Una lista de materiales de software ^[2] (SBOM) declara el inventario de componentes utilizados para construir un artefacto de software, como una aplicación de software. ^[3] Es análogo a una lista de ingredientes en el empaque de alimentos: donde se puede consultar una etiqueta para evitar alimentos que pueden causar alergias , los SBOM pueden ayudar a organizaciones o personas a evitar el consumo de software que podría dañarlos.

El concepto de lista de materiales está bien establecido en la fabricación tradicional como parte de la gestión de la cadena de suministro . ^[4] Un fabricante utiliza una lista de materiales para realizar un seguimiento de las piezas que utiliza para crear un producto. Si posteriormente se encuentran defectos en una pieza específica, la lista de materiales facilita la localización de los productos afectados.

Uso

Un SBOM es útil tanto para el constructor (fabricante) como para el comprador (cliente) de un producto de software. Los constructores suelen aprovechar los componentes de software de terceros y de código abierto disponibles para crear un producto; un SBOM permite al constructor asegurarse de que esos componentes estén actualizados y responder rápidamente a nuevas vulnerabilidades. ^[5] Los compradores pueden utilizar un SBOM para realizar análisis de vulnerabilidad o de licencia, los cuales pueden utilizarse para evaluar el riesgo de un producto.

Si bien muchas empresas simplemente utilizan una hoja de cálculo para la gestión general de la lista de materiales, existen riesgos y problemas adicionales en una SBOM escrita en una hoja de cálculo. Los SBOM obtienen mayor valor cuando se almacenan colectivamente en un repositorio que puede ser parte de otros sistemas de automatización y que otras aplicaciones pueden consultar fácilmente. Esta necesidad de procesamiento automatizado de SBOM es abordada por varios proveedores de software, especialmente aquellos que utilizan estándares de documentos abiertos.

Comprender la cadena de suministro de software, obtener un SBOM y utilizarlo para analizar vulnerabilidades conocidas es crucial para gestionar el riesgo . ^{[6] [7] [8]}

Legislación

La Ley de Transparencia y Gestión de la Cadena de Suministro Cibernético de 2014 ^[9] fue una legislación estadounidense que proponía exigir a las agencias gubernamentales que obtuvieran SBOM para cualquier producto nuevo que compren. También habría requerido la obtención de SBOM para "cualquier software, firmware o producto utilizado por el gobierno de los Estados Unidos". Aunque finalmente no se aprobó, esta ley generó conciencia en el gobierno e impulsó leyes posteriores como la "Ley de mejora de la ciberseguridad de Internet de las cosas de 2017". ^{[10] [11]}

La Orden ejecutiva de EE. UU. para mejorar la ciberseguridad nacional del 12 de mayo de 2021 ^[12] ordenó al NIST que emitiera una guía dentro de los 90 días para "incluir estándares, procedimientos o criterios con respecto a" varios temas con el fin de "mejorar la seguridad de la cadena de suministro de software". ," incluyendo "proporcionar al comprador una Lista de Materiales de Software (SBOM) para cada producto". También se le ordenó a la NTIA en un plazo de 60 días "publicar los elementos mínimos para una SBOM".

Los elementos mínimos de la NTIA se publicaron el 12 de julio de 2021 ^[13] y también "describen casos de uso de SBOM para una mayor transparencia en la cadena de suministro de software y establecen opciones para la evolución futura". Los elementos mínimos constan de tres categorías amplias: campos de datos (información de referencia sobre cada componente de software), soporte de automatización (la capacidad de generar SBOM en formatos legibles por máquinas y humanos) y prácticas y procesos (cómo y cuándo las organizaciones deben generar SBOM). ). El requisito de "soporte de automatización" especifica la necesidad de "generación automática", lo cual es posible con el uso de soluciones de análisis de composición de software (SCA). ^[14]

Ver también

• Construcciones reproducibles
• Intercambio de datos de paquetes de software
• cadena de herramientas de software
• Ataque a la cadena de suministro
• archivo de manifiesto
• Infierno de dependencia

Referencias

1. "Por si acaso, contar enlaces rotos: una visión cuántica de la seguridad de la cadena de suministro de software" (PDF) . USENIX; iniciar sesión. Archivado (PDF) desde el original el 17 de diciembre de 2022 . Consultado el 4 de julio de 2022 .
2. "Lista de materiales de software". ntia.gov. Archivado desde el original el 30 de noviembre de 2022 . Consultado el 25 de enero de 2021 .
3. "[Parte 2] Código, automóviles y congreso: un momento para la gestión de la cadena de suministro cibernética". Archivado desde el original el 14 de junio de 2015 . Consultado el 12 de junio de 2015 .
4. "Código, automóviles y congreso: un momento para la gestión de la cadena de suministro cibernética". Archivado desde el original el 30 de diciembre de 2014 . Consultado el 12 de junio de 2015 .
5. "La lista de materiales del software mejora la gestión de la propiedad intelectual". Diseño de computación integrada . Archivado desde el original el 25 de agosto de 2018 . Consultado el 12 de junio de 2015 .
6. "Tipos de control de seguridad de software adecuados para proveedores de productos y servicios de terceros" (PDF) . Docs.ismgcorp.com. Archivado (PDF) desde el original el 19 de enero de 2023 . Consultado el 12 de junio de 2015 .
7. "Los 10 componentes principales que utilizan 2013-A9 con vulnerabilidades conocidas". Archivado desde el original el 6 de octubre de 2019 . Consultado el 12 de junio de 2015 .
8. "Riesgos de ciberseguridad en la cadena de suministro" (PDF) . Cert.gov.uk. Archivado desde el original el 6 de junio de 2023 . Consultado el 28 de julio de 2020 .
9. "HR5793 - 113º Congreso (2013-2014): Ley de transparencia y gestión de la cadena de suministro cibernética de 2014 - Congress.gov - Biblioteca del Congreso". 4 de diciembre de 2014. Archivado desde el original el 16 de diciembre de 2022 . Consultado el 12 de junio de 2015 .
10. "Ley de mejora de la ciberseguridad de Internet de las cosas de 2017" (PDF) . Archivado (PDF) desde el original el 19 de enero de 2023 . Consultado el 26 de febrero de 2020 .
11. "Ley de mejora de la ciberseguridad de 2017: el fantasma del pasado del Congreso". 17 de agosto de 2017. Archivado desde el original el 16 de diciembre de 2022 . Consultado el 26 de febrero de 2020 .
12. "Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación". La casa Blanca . 2021-05-12. Archivado desde el original el 15 de mayo de 2021 . Consultado el 12 de junio de 2021 .
13. "Los elementos mínimos para una lista de materiales de software (SBOM)". NTIA.gov . 2021-07-12. Archivado desde el original el 5 de junio de 2023 . Consultado el 12 de diciembre de 2021 .
14. "La NTIA publica elementos mínimos para una lista de materiales de software". NTIA.gov . 2021-07-12. Archivado desde el original el 22 de noviembre de 2022 . Consultado el 22 de marzo de 2022 .