Enable javascript in your browser for better experience. Need to know to enable it? Go here.

Lista de materiais de software

Atualizado em : Oct 26, 2022
NÃO ENTROU NA EDIÇÃO ATUAL
Este blip não está na edição atual do Radar. Se esteve em uma das últimas edições, é provável que ainda seja relevante. Se o blip for mais antigo, pode não ser mais relevante e nossa avaliação pode ser diferente hoje. Infelizmente, não conseguimos revisar continuamente todos os blips de edições anteriores do Radar. Saiba mais
Oct 2022
Experimente ?

Com a pressão contínua para manter os sistemas seguros e nenhum sinal de recuo no cenário geral de ameaças, uma lista de materiais de software (Software Bill of Materials ou SBOM) legível por máquina pode ajudar os times a se manterem atualizados sobre os problemas de segurança nas bibliotecas das quais dependem. Desde que a Ordem Executiva original foi publicada, a indústria compreendeu o que é uma SBOM e como criá-la. O National Institute of Standards and Technology (NIST), por exemplo, agora tem mais recomendações específicas sobre como cumprir a ordem. Temos experiência de produção usando SBOMs em projetos que vão de pequenas empresas a grandes multinacionais e até departamentos governamentais, e temos convicção de que trazem benefícios. Mais organizações e governos devem considerar exigir SBOMs para software em uso. A técnica será fortalecida por novas ferramentas que continuam surgindo, como Firebase Android BOM que alinha automaticamente as dependências da biblioteca de uma aplicação àquelas listadas na SBOM.

Mar 2022
Experimente ?

Com a pressão contínua para manter os sistemas seguros e nenhum sinal de recuo no cenário geral de ameaças, uma lista de materiais de software (software bill of materials ou SBOM) legível por máquina pode ajudar os times a se manterem atualizados sobre os problemas de segurança em suas bibliotecas de confiança. A recente exploração remota de dia zero do Log4Shell foi crítica e teve amplo alcance; se os times tivessem uma SBOM pronta, poderiam ter verificado e corrigido rapidamente. Agora, temos experiências usando SBOMs em produção em projetos que vão de pequenas empresas a grandes multinacionais e até departamentos governamentais, e temos convicção de que as listas trazem benefícios. Ferramentas como Syft facilitam o uso de uma SBOM para detecção de vulnerabilidades.

Oct 2021
Avalie ?

Em maio de 2021, a Casa Branca dos EUA publicou sua ordem executiva para melhorar a segurança cibernética da nação. O documento apresenta vários mandatos técnicos relacionados a itens que apresentamos em edições anteriores do Radar, como arquitetura de confiança zero e digitalização de conformidade automatizada usando política de segurança como código. Grande parte do documento é dedicado a melhorar a segurança da cadeia de suprimentos de software. Um item em particular que chamou nossa atenção foi o requisito de que o software governamental deveria conter uma lista de materiais de software (Software Bill of Materials ou SBOM) legível por máquina, definida como "um registro formal contendo os detalhes e as relações da cadeia de suprimentos de vários componentes usados no desenvolvimento de software." Em outras palavras, a lista deve detalhar não apenas os componentes enviados, mas também as ferramentas e os frameworks usados para entregar o software. Esse pedido tem o potencial de inaugurar uma nova era de transparência e abertura no desenvolvimento de software. Isso, sem dúvida, terá um impacto sobre quem cria software como profissão. Muitos, senão todos os produtos de software produzidos hoje, contêm componentes de código aberto ou os empregam no processo de desenvolvimento. Frequentemente, o público consumidor não tem como saber qual versão de qual pacote pode ter um impacto na segurança de seu produto. Em vez disso, contam com os alertas de segurança e patches oferecidos pela fornecedora de varejo. Essa ordem executiva garantirá que uma descrição explícita de todos os componentes seja disponibilizada ao público consumidor, habilitando-o a implementar seus próprios controles de segurança. E como a SBOM é legível por máquina, esses controles podem ser automatizados. Notamos que esse movimento também representa uma mudança no sentido de adotar o software de código aberto e abordar de forma prática os riscos e benefícios de segurança oferecidos.

Publicado : Oct 27, 2021

Baixe o PDF

 

 

 

English | Español | Português | 中文

Inscreva-se para receber o boletim informativo Technology Radar

 

 

Seja assinante

 

 

Visite nosso arquivo para acessar os volumes anteriores