Este audio se generó automáticamente. Háganos saber si tiene comentario.
La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) ha actualizado sus recomendaciones para las características mínimas de una Lectura de Materiales de Software (SBOM), el último paso en la campaña de la agencia para fomentar la transparencia en el mercado de software.
«Las actualizaciones y adiciones incluidas en este documento posicionarán mejor a las agencias del gobierno federal y a otros consumidores de SBOM para abordar una variedad de casos de uso, comprender el proceso de generación y mejorar la calidad de los datos», dijo CISA en la nueva publicaciónque lanzó el jueves.
Muchas organizaciones son vulnerables a los ataques cibernéticos porque usan software con defectos que no son conscientes, debido a la complejidad del código. Algunos expertos cibernéticos ven a SBOMS como una herramienta importante para iluminar el contenido del software y ayudar a los usuarios a abordar las vulnerabilidades. Los SBOM legibles para la máquina se pueden combinar con otras fuentes de datos, incluidas las advertencias de amenazas del gobierno, para producir orientación, como alertas sobre componentes de software vulnerables.
El enfoque continuo de CISA en SBOMS representa un área de continuidad de la administración Biden, que inauguró la defensa de la agencia SBOM a lo largo de la comunidad de ciberseguridad y la industria del software.
Nuevos recs de sbom
Las actualizaciones importantes de la orientación de la CISA abordan los campos de datos de SBOM, la amplitud esperada de la SBOM, la necesidad de identificar cualquier dependencia desconocida conocida y la importancia de actualizar registros obsoletos. Los nuevos materiales en el documento incluyen varios campos de datos de SBOM, como la licencia que acompaña al software, el nombre de la herramienta utilizada para crear el sbom y el hash criptográfico del software. La versión revisada también elimina una sección dedicada a los controles de acceso SBOM y la incorpora a las recomendaciones de distribución existentes.
La publicación, que es Abierto para comentarios públicos Hasta el 3 de octubre, está dirigido principalmente a las agencias gubernamentales, pero también está diseñado para ayudar a otras organizaciones a comprender qué esperar de las SBOM de sus proveedores.
Los cambios en el documento reflejan el crecimiento en el ecosistema de SBOM desde la administración nacional de telecomunicaciones e información publicada por primera vez Elementos mínimos sbom En 2021. En su aviso de comment, CISA enumeró varios de los principales desarrollos: SBOM Tooling se ha expandido más allá de la creación para compartir el intercambio y el análisis, más industrias han unido conversaciones sobre el diseño y el uso de SBOM, los desarrolladores de código abierto han acelerado el movimiento y los expertos han identificado nuevos usos para la herramienta.
CISA dijo que «continuaría promoviendo SBOM como una forma de proporcionar datos relevantes y disponibles a los usuarios de software para iluminar sus cadenas de suministro de software, informar mejor sus procesos de gestión de riesgos e impulsar sus decisiones de seguridad de software.
Fuente