Geçtiğimiz Aralık ayında kritik Log4Shell güvenlik açığının ardından siber güvenlik ekiplerinin çılgınca mücadelesini üstünden neredeyse bir yıl geçmek üzere. Bu yaşanan olay yazılım tedarik zincirinin güvenlik risklerinin farkındalığını arttıran bir olay oldu. Ve geçen süreçte bu risklerin düzeltmenin kolay bir yolu olmadığı da ortaya çıktı.
SBOM Nedir?
Ancak güvenlik camiasındaki pek çok kişi, “yazılım malzemeleri listesi” olarak adlandırılan şeyin kullanılması yoluyla yazılım bileşenlerine yönelik şeffaflığın iyileştirilmesinin çok yardımcı olacağı konusunda iyimser.
Bir SBOM ya da uzun adıyla Software Bill of Materials, genellikle bir gıda paketindeki içerik listesiyle karşılaştırıldığında, bir yazılım parçası oluşturmak için kullanılan bileşenleri listeleyen bir metin dosyasıdır.
BOM yani Bill of Materials, üretim alanında yıllardır kullanılan bir yöntem ve üretilecek bir ürün için gereken hammadde ve yarı mamülleri kolayca ifade edebilen bir araç olarak önümüzde.
Üretimdeki yarı mamülleri yazılımda dışarıdan gelen hazır yazılım paketleri olarak düşünürsek, SBOM’un çok önemli bir fonksiyon üstlendiği ortaya çıkıyor. Günümüzde pek çok programlama dilinde paket yöneticileri var. NodeJS için NPM, Python için PIP, PHP için Composer, Java için Maven gibi paket yönetim araçları ön planda. Ayrıca Golang gibi daha yeni nesil diller de doğal olarak paketleme sistemleriyle geliyor.
SBOM Güvenlik Risklerini Azaltmaya Yardımcı Olabilir mi?
Uzmanlar, SBOM’ların siber riski azaltmak için bir dizi uygulamaya sahip olabileceğini söylüyor. En yaygın olarak belirtilen kullanım, bir müşterinin savunmasız yazılım bileşenlerini, özellikle açık kaynaklı bileşenleri nerede çalıştırdığını hızlı bir şekilde belirlemesine yardımcı olmaktır. Ancak, SBOM’ları toplu olarak analiz etmek ve verilerden büyük ölçüde iç görü toplamak için gereken yazılım araçları henüz mevcut değil.
Ve en azından ilk aşamada, bir SBOM da güvenlik açığı bilgileriyle otomatik olarak ilişkilendirilmeyecektir. Bir kez daha SBOM verisi üretildiğinde, SBOM’ların pratik kullanımı için daha fazla aracın gelmesi bekleniyor. Bu muhtemelen, en azından başlangıçta, federal hükümet ve on milyarlarca dolarlık yıllık BT harcaması tarafından teşvik edilecektir.
ABD’nin Yazılım Güvenliği Adına SBOM ile İlgili Attığı Adımlar Neler?
ABD Başkanı Joe Biden’ın SBOM’u ulusal siber güvenlik için önemli bir girişim olarak belirleyen Mayıs 2021’deki yürütme emrinden bu yana, birçok yazılım şirketi SBOM’ların sonunda federal sözleşmelerde bir gereklilik haline gelmesini bekliyordu.
Siber güvenlik politikası gözlemcileri, Beyaz Saray’ın Yönetim ve Bütçe Ofisi’nin yakında federal kurumlara SBOM’ların sözleşme sürecine nasıl dahil edileceğini ayrıntılı olarak anlatan bir tebliğ yayınlayacağını söyledi.
Bu noktada, SBOM’lar oluşturmak için artık çok sayıda ticari ve açık kaynaklı araç var. CISA’daki SBOM girişiminin başındaki Allan Friedman’a göre, kavramın temelleri “makul ölçüde iyi anlaşıldı”.
Friedman, SBOM’un tamamen olgunlaşması için zamana ihtiyaç duyacak olsa da; önemli olanın şimdi hazır olanla başlamak ve buradan inşa etmek olduğunu söyledi.
“Yazılımın bir kara kutu olduğu güvenlikten, daha geniş tedarik zinciri hakkında düşünmeye geçmek, özellikle federal hükümette biraz zaman alıyor” dedi. “Ama bu bir öncelik.”
