Com a pressão contínua para manter os sistemas seguros e nenhum sinal de recuo no cenário geral de ameaças, uma lista de materiais de software (Software Bill of Materials ou SBOM) legível por máquina pode ajudar os times a se manterem atualizados sobre os problemas de segurança nas bibliotecas das quais dependem. Desde que a Ordem Executiva original foi publicada, a indústria compreendeu o que é uma SBOM e como criá-la. O National Institute of Standards and Technology (NIST), por exemplo, agora tem mais recomendações específicas sobre como cumprir a ordem. Temos experiência de produção usando SBOMs em projetos que vão de pequenas empresas a grandes multinacionais e até departamentos governamentais, e temos convicção de que trazem benefícios. Mais organizações e governos devem considerar exigir SBOMs para software em uso. A técnica será fortalecida por novas ferramentas que continuam surgindo, como Firebase Android BOM que alinha automaticamente as dependências da biblioteca de uma aplicação àquelas listadas na SBOM.
Com a pressão contínua para manter os sistemas seguros e nenhum sinal de recuo no cenário geral de ameaças, uma lista de materiais de software (software bill of materials ou SBOM) legível por máquina pode ajudar os times a se manterem atualizados sobre os problemas de segurança em suas bibliotecas de confiança. A recente exploração remota de dia zero do Log4Shell foi crítica e teve amplo alcance; se os times tivessem uma SBOM pronta, poderiam ter verificado e corrigido rapidamente. Agora, temos experiências usando SBOMs em produção em projetos que vão de pequenas empresas a grandes multinacionais e até departamentos governamentais, e temos convicção de que as listas trazem benefícios. Ferramentas como Syft facilitam o uso de uma SBOM para detecção de vulnerabilidades.
Em maio de 2021, a Casa Branca dos EUA publicou sua ordem executiva para melhorar a segurança cibernética da nação. O documento apresenta vários mandatos técnicos relacionados a itens que apresentamos em edições anteriores do Radar, como arquitetura de confiança zero e digitalização de conformidade automatizada usando política de segurança como código. Grande parte do documento é dedicado a melhorar a segurança da cadeia de suprimentos de software. Um item em particular que chamou nossa atenção foi o requisito de que o software governamental deveria conter uma lista de materiais de software (Software Bill of Materials ou SBOM) legível por máquina, definida como "um registro formal contendo os detalhes e as relações da cadeia de suprimentos de vários componentes usados no desenvolvimento de software." Em outras palavras, a lista deve detalhar não apenas os componentes enviados, mas também as ferramentas e os frameworks usados para entregar o software. Esse pedido tem o potencial de inaugurar uma nova era de transparência e abertura no desenvolvimento de software. Isso, sem dúvida, terá um impacto sobre quem cria software como profissão. Muitos, senão todos os produtos de software produzidos hoje, contêm componentes de código aberto ou os empregam no processo de desenvolvimento. Frequentemente, o público consumidor não tem como saber qual versão de qual pacote pode ter um impacto na segurança de seu produto. Em vez disso, contam com os alertas de segurança e patches oferecidos pela fornecedora de varejo. Essa ordem executiva garantirá que uma descrição explícita de todos os componentes seja disponibilizada ao público consumidor, habilitando-o a implementar seus próprios controles de segurança. E como a SBOM é legível por máquina, esses controles podem ser automatizados. Notamos que esse movimento também representa uma mudança no sentido de adotar o software de código aberto e abordar de forma prática os riscos e benefícios de segurança oferecidos.