Affamato di SBOM? La ricetta per la sicurezza del software

Quando si parla di sicurezza delle applicazioni è fondamentale capire e conoscere i componenti che costituiscono il software ormai strumento indispensabile per le aziende in grado di ottimizzare i processi di business.

Cosa è la SBOM (Software Bill of Materials)?

“Non si può pensare di pensare di proteggere qualcosa che non si conosce”

È qui che entra in gioco il valore di una distinta base software (Software Bill of Materials).
Una SBOM è un inventario di ciò che costituisce l’applicazione software, una lista di tutti gli ingredienti dove vengono identificati ed elencati non solo i componenti e loro correlazioni, ma anche l’ambiente in cui il software è stato sviluppato.

Cosa succede se viene segnalata una vulnerabilità in grado di compromettere l’applicazione? Chi è responsabile se un ingrediente contaminato finisce nell’impasto? Questo è il motivo per cui è di fondamentale importanza per l’azienda che produce l’impasto per biscotti sapere quali ingredienti vengono utilizzati e da dove provengono.

Come il produttore di biscotti è responsabile degli ingredienti che inserisce nel suo prodotto, allo stesso modo, i produttori di software devono conoscere i componenti all’interno delle loro applicazioni. La distinta base software è un mezzo essenziale per gestire i componenti software che potrebbero contenere vulnerabilità di sicurezza o problemi di licenza, è un valido strumento per l’azienda qualora si presenti la necessità di tutelarsi legalmente, oltre ad essere utile a proteggere gli utenti finali e la fiducia nel proprio marchio.

A cosa serve la SBOM?

A rendere bene l’idea del valore che oggi riveste la Software Bill of Materials ci pensa l’OSSRA (Open Source Security and Risk Analysis) che nel rapporto targato 2023 riporta un dato allarmante: il 91% del codice controllato conteneva versioni obsolete di componenti open source. Questo fa presagire il grande rischio che corre ogni azienda a meno che non mantenga una SBOM accurata e aggiornata, di fatto un componente obsoleto può essere facilmente dimenticato arrivando così a diventare una possibile vulnerabilità soggetta a un exploit ad alto rischio.

Va considerato che il software è un insieme complesso che rende lo sviluppo di una SBOM una sfida difficile da affrontare viste le numerose variabili all’interno delle applicazioni – sono tanti i livelli di dipendenze dei componenti che devono essere prese in considerazione. Un’altra sfida che siamo chiamati ad affrontare è che una SBOM dovrebbe identificare i componenti e utilizzare una nomenclatura standard per ogni identificazione. Ciò richiede alle comunità e agli ecosistemi open source di lavorare collettivamente su standard, processi e strumenti utili a mitigare i rischi nelle supply chains del software globali.

Come mitigare i rischi nelle supply chains del software attraverso l’automazione

Fortunatamente, disponiamo già di alcuni standard e strumenti SBOM per implementare pratiche di sicurezza del software più rigorose in tutte le catene di approvvigionamento; formati standard come Software Package Data Exchange (SPDX) e CycloneDX aiutano le organizzazioni a scambiare informazioni utili, creare fiducia e trasparenza nel modo in cui il software viene creato, distribuito e utilizzato lungo tutta la sua catena di fornitura. SPDX è diventato, lo scorso anno, uno dei formati standard per le SBOM come indicato in ISO/IEC JTC1 5962:2021, uno standard per la sicurezza aperto e internazionale. Microsoft, Cisco, Intel, Siemens, Google e Hitachi sono alcuni esempi di aziende che da anni producono e utilizzano SBOM SPDX.

Il rapporto OSSRA del 2023 ha inoltre evidenziato come un’applicazione media contenga circa 600 componenti software open source, raggiungendo così un aumento del 13% rispetto all’anno precedente. Questo determina un forte aumento della complessità nel monitoraggio di tutti gli elementi che compongono un’applicazione rendendo così necessari strumenti di analisi della composizione del software (Software Composition Analysis, SCA) automatizzati. L’automazione è in grado di garantire una SBOM accurata e aggiornata, rendendola così uno strumento indispensabile al fine di adottare misure atte a proteggere il software da cui dipendono i tuoi clienti quando il cookie si sbriciola.