Bu Bültende
- C/C++ kütüphaneleri için iyileştirmeler
- DLL/EXE kütüphanelerini tespit etmek için PE bilgilerinden yararlanma
- C/C++ kütüphaneleri için daha fazla imza ekleyin
- CycloneDX dosya formatını işleme desteği
SBOMSoftware Bill of Materials) teknolojisi sürüm 4.0.0 için en son geliştirmelerimizde, DLL ve EXE dosyaları gibi ikili bileşenler için veritabanı kapsamımızı genişletiyor, PE (Portable Executable) meta verileri aracılığıyla ikili tanımlamayı iyileştiriyor ve CycloneDX SBOM raporları için doğrulama ve zenginleştirmeyi etkinleştiriyoruz.
İkili Kör Nokta
Geleneksel SBOM çözümleri, üçüncü taraf bileşenleri tanımlamak için öncelikle paket yöneticilerine ve bildirim dosyalarına (örn. requirements.txt, package.json) dayanır. Birçok modern uygulama için etkili olsa da, bu yaklaşım özellikle aşağıdaki gibi senaryolarda önemli kör noktalar bırakır:
- Tutarlı paket yöneticisi kullanımı olmayan projeler: Paket yöneticileri tarafından takip edilmeyen DLL kütüphanelerini içeren C/C++ projeleri SBOM oluşturma araçları tarafından görünmez kalabilir.
- Gömülü üçüncü taraf ikili dosyalar içerenSoftware yükleyicileri: Yükleyiciler genellikle açık meta veriler olmadan üçüncü taraf ikili bağımlılıkları içerir ve bu da izlenmelerini zorlaştırır.
- Artefakt depolarındaki ikili formatlı kütüphaneler: JFrog Artifactory, Nexus Repository veya Apache Archiva gibi artifakt depoları kütüphaneleri kaynak kod yerine ikili formatlarda (whl, egg, zip) depolar. Bu ikili paketlerde ayrıca geleneksel SBOM görünürlüğünü sınırlayan bildirimler de yoktur.
Bu boşluklar güvenlik riskleri yaratır - ikili bağımlılıklar görünmez kalır, yükleyici paketleri incelenmez ve beyan edilmemiş bağımlılıklardaki güvenlik açıkları izlenemez.
SBOM İkili Güvenlik Açığının Kapatılması
Bu kritik kör noktaları ele almak için OPSWAT SBOM 4.0.0, birden fazla tamamlayıcı yaklaşımla gelişmiş yetenekler sunar:
İkili Bileşenler için Genişletilmiş Veritabanı Kapsamı
C, C++ ve C# ikili dosyaları (DLL'ler, EXE'ler) için imza veritabanımızı önemli ölçüde genişlettik. Software geliştirme ekipleri, paket yöneticisi meta verilerinin mevcut olmadığı durumlarda bile gömülü üçüncü taraf kütüphanelerini belirleyebilir.
Bu güncelleme ile OPSWAT SBOM kaynak kodu, derlenmiş ikili dosyalar ve yazılım yükleyicileri arasında kapsamlı bileşen takibi sağlar.
Meta Veri Analizi ile Hassas Kütüphane Tanımlama
Yeni sürümümüz, ikili dosyaları tanımlamak ve bunları bilinen güvenlik açıkları ve lisanslama veritabanlarıyla eşleştirmek için PE (Taşınabilir Yürütülebilir) meta veri analizinden yararlanıyor. Bu otomatik yaklaşım, daha önce manuel, zaman alıcı ve hataya açık bir sürecin yerini alıyor.
Nasıl Çalışır?
- OPSWAT SBOM, imzalarını ve PE (taşınabilir yürütülebilir) meta verilerini kullanarak ikili formdaki (DLL'ler, EXE'ler) üçüncü taraf kütüphanelerini tespit eder.
- Çıkarılan ikili bilgiler bilinen kütüphaneler ve sürümlerle eşleştirilir
- Bu bulgular daha sonra güvenlik açığı ve lisans veritabanlarımızla çapraz referanslandırılır.
Avantajlar:
- Manuel olarak yönetilen C/C++ kütüphaneleri ve yükleyici paketleri dahil olmak üzere üçüncü taraf bileşenlerini tanımlama
- Meta veri analizi kullanarak ikili bileşenlerin tanımlanmasında doğruluğu artırın
- Paket yöneticisi bildirimleri olmasa bile bağımlılıkları tespit ederek güvenlik risklerini azaltın
- Kapsamlı güvenlik açığı yönetimi ve güvenlik değerlendirmelerini etkinleştirin
SBOM'ların neden önemli olduğu hakkında daha fazla bilgi edinin.
Meta Veri Analizi ile Hassas Kütüphane Tanımlama
SBOM'u Artifact Depoları ile Entegre Etme
OPSWAT SBOM ve MetaDefender Software Supply Chain , ikili kütüphaneleri doğrudan taramanın ötesinde, orijinal paketleri taramak ve meta verilerini almak için JFrog Artifactory gibi artifact depolarıyla yerel entegrasyonu destekler. JFrog Artifactory entegrasyonu hakkında daha fazla bilgi edinin.
Bu çapraz referanslama, gömülü üçüncü taraf kütüphanelerin doğru bir şekilde tanımlanmasını sağlar ve ekiplerin projelerinin ikili bileşenlerindeki kritik güvenlik bilgilerini kaçırmamasını sağlar.
CycloneDX SBOM Rapor Doğrulama ve Zenginleştirme
Bu sürümdeki bir diğer güncelleme, SBOM raporlarının - özellikle CycloneDX formatındakilerin - doğruluğu ve eksiksizliğine odaklanmaktadır.
CycloneDX, güvenlik ve güvenlik açığı takibi için yaygın olarak kullanılan bir SBOM formatıdır. Ancak, bu raporlardan bazıları genellikle lisanslama verileri veya beyan edilmemiş bağımlılıklar gibi bilgilerden yoksundur.
OPSWAT olarak çok katmanlı savunma felsefesine inanıyoruz. Tıpkı katmanlı güvenlik stratejilerinin kötü amaçlı yazılım tespitini iyileştirmesi gibi, çok katmanlı SBOM doğrulaması da yazılım tedarik zinciri güvenliğini artırır. Bu geliştirme, daha eksiksiz bileşen envanterleri oluşturmak için CycloneDX SBOM raporlarını doğrular ve zenginleştirir.
Nasıl Çalışır?
Mevcut SBOM'u İçe Aktar
Kullanıcılar, analiz ve doğrulama için temel olarak CycloneDX formatında bir SBOM raporu sağlar.
Doğrulama ve Zenginleştirme
OPSWAT SBOM'u yeniden tarar, listelenen bileşenleri veritabanımıza göre doğrular ve aşağıdakiler de dahil olmak üzere eksik ayrıntıları tamamlar:
- Güvenlik açığı içgörüleri (CVE tespiti ve önem dereceleri)
- Lisanslama verileri
- Sürüm takibi (eski sürümler ve düzeltilmiş yamalar)
Ayrıca, bilinen CVE'lere veya onaylanmamış lisanslara sahip dosyalar önceden yapılandırılmış politikalara göre işaretlenecek veya engellenecektir.
Geliştirilmiş SBOM Oluşturma ve Dışa Aktarma
Güncellenmiş SBOM ek güvenlik içgörüleri içerir. Zenginleştirilmiş bulguları JSON, CycloneDX veya SPDX SBOM biçiminde dışa aktarın.
İkili Algılama Neden Önemlidir?
Kapsamlı Vulnerability Management
Yeni CVE'ler duyurulduğunda, güvenlik ekipleri ikili formdaki bileşenler için bile etkilenip etkilenmediklerini hemen değerlendirebilir. Bu, güvenlik açığı müdahale iş akışlarındaki güvenlik kör noktalarını ortadan kaldırır.
Uyumluluk ve Mevzuata Hazırlık
SBOM'lar için artan yasal gereklilikler veya müşteri talepleriyle karşı karşıya olan kuruluşlar, yalnızca paket yöneticileri aracılığıyla yönetilenlerin değil, tüm bileşenlerin hesaba katılmasını sağlayabilir.
Yükleyici Paketleri için Güvenlik Değerlendirmeleri
Software dağıtım paketleri genellikle çok sayıda üçüncü taraf bileşeni içerir. İkili algılama, yükleyicilerin görünürlüğünü genişletir ve müşterilere ulaşan tüm bağımlılıkların envanterinin çıkarılmasını ve güvenlik kontrolünden geçirilmesini sağlar.
Eski Kod Tabanı Desteği
Modern bağımlılık yönetiminden yoksun eski uygulamalar artık manuel takip veya kapsamlı yeniden çalışma gerektirmeden yazılım tedarik zinciri güvenlik programlarına dahil edilebilir.
OPSWAT SBOM Hakkında
OPSWAT SBOM, yazılım uygulama yığınlarındaki yazılım bileşenlerinin doğru bir envanterini sağlayarak yazılım şeffaflığını mümkün kılar. OPSWAT SBOM ile geliştiriciler bilinen güvenlik açıklarını belirleyebilir, lisansları doğrulayabilir ve OSS (açık kaynaklı yazılım), üçüncü taraf bağımlılıkları ve konteyner görüntüleri için bileşen envanteri oluşturabilir. Software geliştirme ekipleri, geliştirme hızını etkilemeden uyumlu kalabilir ve saldırganların önüne geçebilir.
SBOM'un uygulamalarınızın güvenliğini sağlamaya nasıl yardımcı olduğu hakkında daha fazla bilgi opswat adresini ziyaret edin.
