Com a recente conversa sobre listas de materiais de software (SBOMs) no noticiário, pode parecer que os SBOMs são um conceito novo, mas na verdade eles existem há mais de uma década. O padrão SPDX (Software Package Data Exchange) foi criado em 2010 para comunicar informações de SBOM, como componentes, licenças, direitos autorais e referências de segurança. Os SBOMs só se tornaram mais populares com o aumento dos ataques às cadeias de suprimentos de software, e agora há regulamentações federais que exigem um SBOM ao fazer negócios com entidades do governo federal. As listas de materiais de hardware (HBOMs) existem há muito mais tempo, mas estão se tornando mais comuns no setor de tecnologia, à medida que mais empresas procuram proteger suas pegadas cibernéticas.

Neste blog, discutiremos a diferença entre SBOMs e HBOMs e qual deles você precisará, dependendo se você é um fornecedor ou proprietário de ativos.

As listas de materiais de hardware (HBOMs) existem há muito mais tempo, mas estão se tornando mais comuns no setor de tecnologia, à medida que mais empresas procuram proteger suas pegadas cibernéticas.

Neste blog, discutiremos a diferença entre SBOMs e HBOMs e qual deles você precisará, dependendo se você é um fornecedor ou proprietário de ativos.

O que é uma Lista de Materiais de Software (SBOM)?

Uma lista de materiais de software (SBOM) é uma lista de todos os componentes que compõem um software. Eles permitem que os desenvolvedores de software provem que os componentes que usam em seus produtos são seguros e aderem a práticas adequadas de higiene cibernética.

Os SBOMs ajudam os proprietários de ativos de software a entender os produtos que estão adicionando ao seu ambiente e permitem que as equipes de operações de segurança (SecOps) identifiquem rapidamente quaisquer vulnerabilidades caso elas surjam.

Os SBOMs identificam os seguintes tipos de risco:

  • Vulnerabilidade - Quantos, a gravidade e o tipo
  • Dependência - Dependências, componentes e subcomponentes desatualizados no produto
  • Licença - Este produto pode ser usado comercialmente ou é necessário que sejam necessárias modificações para serem divulgadas publicamente?

O que é uma lista de materiais de hardware (HBOM)?

Uma lista de materiais de hardware (HBOM) lista todas as peças físicas ou componentes usados para construir um produto. A análise HBOM fornece aos fabricantes, proprietários de ativos ou programas informações para tomar decisões sobre as origens ou os riscos de segurança de um determinado produto ou tecnologia.

Por exemplo, nos setores de defesa ou telecomunicações, você pode ter regulamentos sobre quais componentes da empresa podem ser incluídos em um produto. Um HBOM fornecerá a procedência das peças em um produto para que você possa tomar decisões informadas sobre se deve avançar com a compra desse dispositivo.

HBOMs podem identificar o seguinte:

  • Configuração - Como o produto foi montado
  • Proveniência - De onde vieram as peças
  • Obsolescência - Se o produto está usando peças antigas ou obsoletas
  • Não conformidades - As maneiras como um produto é diferente de outros produtos similares no mercado

Casos de uso do SBOM

Para fornecedores de software e proprietários de ativos de software, os SBOMs têm vários casos de uso. Vamos destrinchar.

Fornecedores de Software

  • Para fins de conformidade: Quando os fornecedores fornecem software proprietário que outras empresas irão comprar, esses clientes precisam saber o que está no software para garantir que eles não sejam prejudicados.
  • As pessoas que escrevem código de produto de software precisam de uma lista de componentes para se antecipar a possíveis vulnerabilidades e fraquezas. Eles também têm que passar por auditorias internas.
  • Para fins de vendas: Nesses casos, seus clientes o exigem. A solicitação de um SBOM está se tornando mais popular em RFPs de grandes empresas que tentam comprar novos softwares. No caso de o governo federal fazer compras, os SBOMs serão exigidos a partir de 2023.
  • Para fins de SecOps e PSIRT: As equipes internas de SecOps devem garantir que sua empresa e seus produtos não sejam comprometidos.

Proprietários de ativos de software

  • Para fins de conformidade: Semelhante aos fornecedores, os auditores de consumo de software exigem SBOMs. A diferença está no que esses auditores procuram. Eles estão analisando quem está em seu ecossistema e provando que estão seguros. Há mais disponibilidade para fatores atenuantes nessas auditorias.
  • Para efeitos de adjudicação de contratos: Os proprietários de ativos exigem SBOMs dos fornecedores para garantia, e é uma situação emergente. Como mencionado acima, as solicitações de SBOMs em RFPs estão se tornando mais populares, especialmente em nível federal.
  • Para fins de operações de segurança: Os SBOMs são usados para monitorar o ambiente do proprietário do ativo em busca de ameaças, por exemplo, componentes exploráveis no software em execução na rede.
  • Nesse caso, ter um SBOM é útil porque permite que sua equipe de segurança saiba o que procurar quando novas vulnerabilidades ocorrerem. Um SBOM permitiria que os proprietários de ativos encontrassem rapidamente quais produtos são afetados e onde estão.

Casos de uso do HBOM

Assim como os SBOMs para fornecedores de software e proprietários de ativos de software, os HBOMs também têm vários casos de uso.

Fornecedores de hardware

Para fins de fabricação: Os HBOMs removem a ambiguidade no processo de fabricação para que os produtos possam ser feitos consistentemente em escala. Eles também são usados para controlar a qualidade, por exemplo, quando um fabricante contratado é usado para produzir um produto, peças específicas são listadas no HBOM para evitar que o fabricante substitua peças mais baratas. Também auxilia no planejamento da produção, nas decisões de compra e no fornecimento de materiais.

Para fins de vendas: Os HBOMs podem ser usados no processo de vendas para provar que um produto é seguro e não está adicionando componentes inesperados ao ambiente de TI de um proprietário de ativo.

Proprietários de ativos de hardware

Para fins de conformidade: Semelhante aos fornecedores, um proprietário de ativos pode solicitar um HBOM para garantir que todas as peças de um produto atendam aos requisitos regulamentares. Se uma empresa de defesa se deparar com um componente proibido de um produto, ela pode optar por não trabalhar com esse fornecedor.

Para efeitos de adjudicação de contratos: Semelhante aos propósitos de conformidade, os proprietários de ativos podem exigir HBOMs de fornecedores para garantia. Os proprietários de ativos podem verificar se as peças em um produto recebido correspondem ao que está listado no HBOM. Os riscos potenciais para a cadeia de suprimentos incluem obsolescência, vulnerabilidades, não conformidades, falsificações e influência estrangeira.

Preciso de um SBOM ou um HBOM?

Se você precisa de um SBOM ou HBOM depende de sua situação e suas necessidades. Os SBOMs podem ser usados em situações de monitoramento contínuo e resposta a incidentes, enquanto os HBOMs são usados em aquisições e verificações pontuais de produtos.

À medida que as empresas de software lançam atualizações ou patches, os componentes e subcomponentes mudam, o que requer informações atualizadas para as equipes de SecOps.

Se você é um fornecedor que trabalha regularmente com entidades federais, é aconselhável ter SBOMs e HBOMs disponíveis ao entrar em RFPs ou chamadas de vendas. Se você é proprietário de um ativo, também é aconselhável solicitar um SBOM e HBOM durante o processo de aquisição como precaução.

Artigo Original