CERT-In SBOM Kılavuzları: Uyumluluğa Nasıl Ulaşılır

CERT-In Hindistan'ın ulusal siber güvenlik ajansıdır. SBOM yönergeleri tedarik zinciri güvenliğini güçlendirmeyi, yazılım bileşenlerinin görünürlüğünü artırmayı ve güvenlik açıklarına daha hızlı, standartlaştırılmış yanıtlar verilmesini sağlamayı amaçlamaktadır.

Uyumluluk, devlet, kamu sektörü, temel hizmetler ve yazılım ihracatçılarının yanı sıra yazılım yaşam döngüsü boyunca geliştiriciler, entegratörler ve satıcılar için de geçerlidir.

OPSWAT SB OM, yazılım bileşeni ayrıntıları, şeffaflık ve riskler ile lisanslama ve kullanım gibi ana alanlarda görünürlük ve şeffaflık sağlamak için CERT-In SBOM veri alanlarının otomasyonuna ve toplanmasına yardımcı olur.

• Bileşen Adı: Yazılım bileşeninin veya kütüphanenin adı.
• Bileşen Sürümü: Bileşenin sürüm numarası veya tanımlayıcısı.
• Bileşen Tedarikçisi: Bileşeni sağlayan kuruluş (satıcı, üçüncü taraf veya açık kaynak).
• Bileşen Kökeni: Bileşenin kaynağı (tescilli, açık kaynaklı veya üçüncü taraf).
• Benzersiz Tanımlayıcı: Bileşeni sürümler ve sahiplik arasında izlemek için farklı kod.
• SBOM Verilerinin Yazarı: SBOM girişini oluşturmaktan sorumlu varlık.
• Zaman damgası: SBOM girişinin kaydedildiği tarih ve saat.

• Bileşen Bağımlılıkları: Bu bileşenin dayandığı diğer bileşenler veya kütüphaneler.
• Güvenlik açıkları: Önem derecesi ve CVE referansları ile birlikte bileşene bağlı bilinen güvenlik sorunları.
• Yama Durumu: Güvenlik açıkları için mevcut güncelleme veya yama kullanılabilirliği.
• Checksums veya Hashes: Dosya bütünlüğünü doğrulamak için kriptografik değerler.
• Çalıştırılabilir Özellik: Bileşenin çalıştırılıp çalıştırılamayacağı.
• Arşiv Özelliği: Bileşenin bir arşiv dosyası olarak paketlenip paketlenmediği.
• Yayınlanma Tarihi: Bileşenin ilk yayınlandığı tarih.

CERT-In uyumluluğuna ulaşmak, geliştirme, güvenlik, operasyon ve uyumluluk ekipleri arasında koordinasyon gerektiren aşamalı bir yolculuktur. Her paydaş, yazılım yaşam döngüsünün farklı noktalarında SBOM'ların oluşturulması, sürdürülmesi ve paylaşılmasında rol oynar.

CERT-In Teknik Kılavuzlarından içerik ve örnekler içeren aşağıdaki tablo, SBOM sorumluluklarının ortak yazılım bileşenleriyle nasıl uyumlu olduğunu göstermektedir:

Yazılım envanteri, güvenlik açığı takibi ve satıcı tarafından sağlanan SBOM'lar için mevcut uygulamaları belirleyin. Bunları CERT-In'in gerekli veri alanları ve formatlarıyla eşleştirin.

Geliştiriciler, BT operasyonları, satın alma, güvenlik ve uyumluluk ekipleri için net roller tanımlayın. Yönetişim, SBOM'ların tutarlı bir şekilde oluşturulmasını, sürdürülmesini ve kurum genelinde paylaşılmasını sağlar.

Otomasyon çok önemlidir. Araçlar olmalı:

• Her yeni sürüm, yama veya güncelleme için SBOM'lar oluşturun
• DevOps işlem hatları, kaynak depoları ve konteyner kayıtları ile entegrasyon
• Mevzuat uyumu için CycloneDX ve SPDX formatlarında çıktı

SBOM üretimini her SDLC aşamasına yerleştirin:

• Tasarım SBOM: planlanan bileşenler
• Kaynak SBOM: geliştirme bağımlılıkları
• SBOM oluşturun: derleme sırasında
• Analiz edilen SBOM: inşaat sonrası denetim
• Dağıtılmış SBOM: kurulu ortam
• Çalışma zamanı SBOM: aktif bileşenlerin izlenmesi

Tedarik sözleşmeleri, tüm tedarikçilerden SBOM teslimatı yapılmasını zorunlu kılmalıdır.

Sürekli SBOM güncellemeleri oluşturun, VEX (Vulnerability Exploitability eXchange) ve CSAF gibi güvenlik açığı danışmanlıklarıyla entegre olun ve şifreleme, HTTPS ve dijital imzalar aracılığıyla güvenli depolama ve paylaşım sağlayın.

Güvenlik stratejiniz için SBOM'dan nasıl yararlanacağınızı öğrenmek ister misiniz?

Doğru satıcıyı veya çözümü seçmek hem uyumluluk hem de operasyonel verimlilik açısından kritik öneme sahiptir.

• SPDX ve CycloneDX için destek
• DevOps boru hatları ve CI/CD iş akışları ile entegrasyon
• Birden fazla SBOM seviyesi oluşturabilme (tasarım, derleme, dağıtım, çalışma zamanı)
• Denetime hazır raporlama ve güvenli paylaşım mekanizmaları

Doğru iş ortaklarını seçmek, şirket içi SBOM süreçleri oluşturmak kadar kritiktir. CIO'lar ve satın alma liderleri, RFP ve durum tespiti kontrol listelerinin bir parçası olarak CERT-In uyumunu dahil etmelidir. Sorulacak kilit sorular şunları içerir:

• SBOM'ları CERT-In onaylı formatlarda (SPDX, CycloneDX) sağlıyor musunuz?
• SBOM'larınız ne sıklıkla güncelleniyor-sadece yayınlandığında mı yoksa sürekli olarak mı?
• SBOM oluşturma, doğrulama ve güvenli paylaşım için hangi otomasyonu sunuyorsunuz?
• Güvenli SBOM dağıtımını nasıl uyguluyorsunuz (örneğin şifreleme, RBAC, dijital imzalar)?
• Çözümünüz DevOps işlem hatları, güvenlik açığı veritabanları ve CERT-In tavsiyeleri ile entegre oluyor mu?
• Uygunluk denetimlerini ve sürekli düzenleyici raporlamayı nasıl destekliyorsunuz?

Bu soruları önceden sormak, satıcıların yalnızca kağıt üzerinde uyumlu olmalarını değil, aynı zamanda CERT-In'in gelişen yönergeleriyle uyumlu SBOM uygulamalarını sürdürebilmelerini sağlamaya yardımcı olur.

• Temel iş akışlarıyla başlayın ve zaman içinde olgunluğu artırın
• Tüm tedarik sözleşmelerinde SBOM teslimatının zorunlu kılınması
• SBOM üretimini SDLC'nin erken aşamalarına entegre ederek sola kaydırma yaklaşımını benimseyin
• Personeli SBOM farkındalığı ve mevzuat gereklilikleri konusunda eğitin

İyi niyetli SBOM girişimleri bile kuruluşların yüzeysel yaklaşması halinde başarısız olabilir. CERT-In, SBOM'ların doğru, kapsamlı ve sürekli olarak güncellenmesi gerektiğini vurgulamaktadır. İşte en yaygın tuzaklardan bazıları ve bunlardan nasıl kaçınılacağı:

SBOM havuzlarını eksiksiz tutun, yönetişim uygulamalarını belgeleyin ve CERT-In denetim şablonlarıyla uyumlu hale getirin.

OPSWAT SBOM, kaynak kod ve konteynerlerdeki yazılım bileşenlerinin doğru bir envanterini sağlayarak geliştiricileri güçlendirir. Geliştirme hızını etkilemeden saldırganların önüne geçin, tehditleri ortaya çıkarın ve güvenlik açıklarını tespit edin.

Yazılım geliştirme ekiplerinin açık kaynak bağımlılıklarının güvenlik açıklarını ve lisanslama endişelerini belirlemelerini, önceliklendirmelerini ve ele almalarını sağlar.

Yazılım geliştirme ekiplerinin açık kaynak bağımlılıklarının güvenlik açıklarını ve lisanslama endişelerini belirlemelerini, önceliklendirmelerini ve ele almalarını sağlar.

Kapsayıcı görüntülerini analiz edin ve paket adı, sürüm bilgisi ve olası güvenlik açıkları için SBOM oluşturun.

SBOM uyumluluğunun ötesine geçin ve gelişmiş, gelişen yazılım tedarik zinciri saldırılarını ele alın.

OPSWAT MetaDefender Software Supply Chain genişletilmiş görünürlük ve tedarik zinciri risklerine karşı sağlam bir savunma sağlar. Sıfır güven tehdit algılama ve önleme teknolojilerimizle, yazılım geliştirme yaşam döngünüz (SDLC) kötü amaçlı yazılımlara ve güvenlik açıklarına karşı güvence altına alınır, uygulama güvenliği ve uyumluluk bağlılığı güçlendirilir.

30'dan fazla antivirüs motorunun kombinasyonu algılama oranlarını artırır ve kötü amaçlı yazılımların iş istasyonlarına, kapsayıcılara veya kaynak koduna bulaşmasını etkili bir şekilde önler.

Proactive DLPTM, kaynak kodunda bırakılan parolalar, gizli bilgiler, belirteçler, API anahtarları veya diğer hassas bilgiler gibi kimlik bilgilerini tanımlar.

Bir konteyner görüntüsünün her katmanının altında bulunan kötü amaçlı yazılımları, güvenlik açıklarını veya diğer potansiyel riskleri değerlendirin.

Ekibiniz ister kaynak kodu depoları, ister konteyner kayıtları, ister ikili hizmetler veya araçların bir kombinasyonunu kullansın, MetaDefender Software Supply Chain , SDLC'niz boyunca güvenliği sağlamak için popüler platformlarla yerel entegrasyonlar sağlar.

Bankalar ve NBFC'ler, SBOM uygulamalarını RBI siber güvenlik talimatlarıyla uyumlu hale getirmeli ve hassas verilerin işlenmesi için daha sıkı denetim gereklilikleri getirmelidir.

Tedarikçiler SBOM'ları sözleşmelerin bir parçası olarak teslim etmelidir. Kuruluşlar şeffaflık ve risk yönetimi için dahili ve harici SBOM envanterleri tutmalıdır.