Microsoft’un dahili aracıyla SBOM’lar oluşturun


SolarWinds’in sistem yönetim aracının tavizi, yazılımları için bir CI/CD (sürekli entegrasyon ve sürekli teslimat) oluşturma süreci kullanan herkes için birçok ilginç sorunu gündeme getirdi. Kullanıcılarımıza dağıttığımız yazılımın kurmayı düşündüğümüz yazılım olduğundan nasıl emin olabiliriz? Kodumuzun tüm bağımlılıkları, sahip olmayı amaçladığımız şeyler mi? Üçüncü taraf modülleri kullanıyorsak, hala beklediğimiz gibiler mi?

Tüm kodumuzun altına yerleştirdiğimiz katmanlı ve iç içe bağımlılıklar temeli tarafından daha karmaşık hale getirilen karmaşık bir sorundur. Modern geliştirme, dünyanın her yerindeki depolardan alınan ve asla karşılaşmayacağımız sayısız ekip ve kişi tarafından geliştirilen kodlara dayanır. Öyle olsa bile, kodlarının söylediği gibi olduğuna güveniyoruz – kullanıcılarımıza aktardığımız bir güven.

Ted Nelson’ın da dediği gibi, her şey derinden iç içe geçmiş durumda. Bir yazılım geliştirme ağı, masalarımızın ve depolarımızın çok ötesine geçer. Kodumuza güveni sağlamak için ne yapıyoruz?

Neden bir yazılım malzeme listesi ve neden şimdi?

ABD yönetimi, SolarWinds uzlaşmasına bir “Ülkenin Siber Güvenliğinin Artırılmasına Yönelik İcra Emri” Bu, Ulusal Standartlar ve Teknoloji Enstitüsü’nün, kodumuzu oluşturmak için bir araya gelen yazılım tedarik zincirlerinin, modül ağlarının ve bileşenlerin güvenliğini artırmak için yönergeler geliştirmesini ve yayınlamasını gerektirir. Bu yönergeler artık kullanılabilir. Yazılımın, kodunuzla birlikte gelen bileşenlerin ayrıntılarını veren bir yazılım malzeme listesi (SBOM) ile birlikte gönderilmesi gerekir.

SBOM’lar yeni değil. Microsoft’un da dahil olduğu birçok şirket, bunları kullanıcılarına özel bildirimler kullanarak sağlar. Standardizasyon olmadan, biçimler değişir ve genellikle makine tarafından okunamaz. Microsoft, SBOM şeması için bir standart geliştirmek üzere Araçlar Arası SBOM çalışma grubunda Bilgi ve Yazılım Kalitesi Konsorsiyumu ile birlikte çalışıyordu. ABD yürütme emri, bu sürece aciliyet ekledi ve çalışma grubu, çalışmalarını Linux Vakfı’nın daha olgun olanlarıyla birleştirmek için harekete geçti. Yazılım Paketi Veri Değişimi (SPDX) formatı.

Microsoft, kendi rapor formatlarıyla yazılımı için bileşen bildirimleri oluşturmak için kendi aracını kullanıyor. SPDX standartları sürecine katılması sonucunda, Microsoft’un dahili aracı bu alternatif biçimi kullanacak şekilde güncellendikendi geliştirmesi boyunca yayıyor ve boru hatları inşa ediyor.

Telif Hakkı © 2022 IDG Communications, Inc.


Kaynak : https://www.infoworld.com/article/3668035/build-sboms-with-microsofts-internal-tool.html#tk.rss_all

Yorum yapın