Software Bill of Materials (SBoM) en cybersecurity
Moderne softwaresystemen omvatten steeds complexere en dynamischere toeleveringsketens. Gebrek aan systemisch inzicht in de samenstelling en functionaliteit van deze systemen draagt aanzienlijk bij aan het cyberbeveiligingsrisico. De toenemende complexiteit van IT-landschappen en de integriteit van de toeleveringsketen stimuleert de acceptatie van een gestandaardiseerde informatiedrager die de interne kenmerken en oorsprong van softwarecomponenten beschrijft om softwaretransparantie te bereiken. De Software Bill of Materials (SBoM) is een elektronisch document dat de onderdelen beschrijft waaruit een stuk software bestaat. Het helpt om bewust te worden van kwetsbaarheden in de onderliggende softwarecomponenten en om de impact van die kwetsbaarheden op het IT-landschap beter in te schatten. Bovendien verbetert een SBoM het risicobeheer voor inkopers en operators van IT-middelen.
Dit onderzoek verkent de toestand van het huidige landschap en de mogelijke doelen en toepassingen van SBoM in een cybersecurity-context. Het beschrijft het potentieel voor softwareproductie, keuze en aanschaf, bediening van software en voor SecDevOps. De algemene bevindingen zijn:
1. SBoM wint terrein binnen de IT-beveiligingswereld.
2. SBoM wordt als waardevol beschouwd voor de IT-beveiliging van het beheer.
3. Het bestaan van een SBoM wordt beschouwd als een indicator voor de kwaliteit van IT-producten.
4. Geaccepteerde datastandaarden en tools zijn beperkt.
5. De balans tussen SBoM-detail versus praktische bruikbaarheid staat nog ter discussie.
6. Niet veel standaardisatie voor het gebruik van SBoM.
De resultaten van dit project dragen bij aan een beter begrip van nieuwe concepten en leveren input voor toekomstige projecten en innovatie op dit gebied.
Klik hier om het onderzoek over de Software Bills of Materials (SBoM) te lezen (in het Engels).