மென்பொருளின் பொருட்களுக்கான பட்டியல் (Software Bill of Materials (SBOM) ) ஆனது அனைத்து திறமூலகூறுகளையும், மூன்றாம் தரப்பு கூறுகளையும் குறிமுறைஅடிப்படையில் (codebase) பட்டியலிடுகிறது, மேலும் இது அமெரிக்காவில் கட்டாயமாக்கப்பட்டுள்ளது. இது மென்பொருளை வெளிப்படையானதாகவும், தாக்குதல்களுக்கு குறைவான பாதிப்பை ஏற்படுத்திடுமாறும் உதவுகிறது.
திறமூல மென்பொருட்களானவை பாதுகாப்பினை எப்போதும் கவனத்தில் கொண்டுள்ளது. ஒவ்வொரு முறையும் சைபர் தாக்குதலின் போது, அவ்வாறான தாக்குதல் எப்போது, எங்கே, எப்படி நடந்தது என்பதைக் கண்டறிய நிறைய நேரமும் முயற்சியும் தேவைப்படுகிறது, ஆனால் எண்ணிம சூழலில் இயங்குகின்ற பயன்பாடுகளின் சேவைகளின் உண்மையான தாக்கத்தை அளவிடவும். சமீபத்திய சைபர் தாக்குதல்கள், குறிமுறைவரிகளின் சார்புகள் , மென்பொருள் விநியோகச் சங்கிலி மீதான தாக்குதல்கள் பற்றிய பொதுவான அறிவு பற்றாக்குறையை எடுத்துக்காட்டுகின்றன.
ஒரு மென்பொருளின் பொருட்களுக்கான பட்டியல்(SBOM) ஆனது புதிய உள்நாட்டு, சர்வதேச இணையப் பாதுகாப்பு சட்டங்களின்தேவையைப் பூர்த்தி செய்ய நிறுவனங்களுக்கு உதவுகிறது. மென்பொருளை உருவாக்குவதில் பயன்படுத்தப்படுகின்ற பல்வேறு கூறுகளுக்கு இடையிலான உறவுகளை விநியோகச் சங்கிலிகள் சுட்டிக்காட்டுகின்றன. இந்த கூறுகளில் நூலகங்கள் , தொகுதிகள் ஆகியவைகளும்அடங்கும். அவை திறமூலமாகவோ அல்லது தனியுரிமமாகவோ, கட்டண மற்றதாககவோ அல்லது கட்டணமுடையதாகவோ இருக்கலாம்.
SBOMகள் ஏன் தேவை?
SBOM என்பது குறிமுறைஅடிப்படையில் (codebase) இருக்கின்ற அனைத்து திறமூல,கூறுகளின் மூன்றாம் தரப்பு கூறுகளின் பட்டியலாகும். அந்த கூறுகளை நிர்வகிக்கின்ற உரிமங்கள், குறிமுறைஅடிப்படையில் (codebase) பயன்படுத்தப்படுகின்ற கூறுகளின் பதிப்புகள், இணைப்பு நிலை ஆகியவற்றை இது பட்டியலிடுகிறது. இது தொடர்புடைய பாதுகாப்பு அல்லது உரிம அபாயங்களை விரைவாகக் கண்டறிய பாதுகாப்புக் குழுக்களுக்கு உதவுகிறது.
ஒரு SBOM மென்பொருளின் கூறுகள் , அதன் சார்புகளின் இயந்திரங் களால் படிக்கக்கூடிய பட்டியலை வழங்குகிறது. தனியார் , அரசு நிறுவனங்களுக்கான மேககணினியின் பாதுகாப்பிற்கான முக்கிய அங்கமாக இது மாறியுள்ளதால், 2023 ஆம் ஆண்டின் இறுதிக்குள் 88 சதவீத நிறுவனங்கள் SBOMகளைப் பயன்படுத்தக்கூடும் என மதிப்பிடப்பட்டுள்ளது.
இதேபோன்று, மென்பொருளை உருவாக்குகின்ற திறன்மிக நிறுவனங்கள் துல்லியமான, புதுப்பித்த SBOM ஐப் பராமரிக்கின்றன, இதில் மூன்றாம் தரப்பு , திறமூலக் கூறுகளின் பட்டியலிம் அடங்கும், அவற்றின் குறிமுறைவரிகள் உயர்தரமானது, இணக்கமானது , பாதுகாப்பானது என்பதை உறுதிப்படுத்துகிறது.
SBOMகள் இணைய பாதுகாப்பு
2021 ஆம் ஆண்டில், Codecov, Kaseya , மிக சமீபத்தில், Apache போன்ற மென்பொருள் நிறுவனங்கள் உட்பட பல நிறுவனங்களில் உயர்மட்டநிலையில் பாதுகாப்பு தாக்குதல்கள் நடந்தன. இந்த வகையான விநியோகச் சங்கிலியின்மீதான தாக்குதல்கள், கூட்டாட்சி துறைகள், முகவர்கள் , அரசாங்கத்துடன் வணிகம் செய்யும் ஒப்பந்ததாரர்கள் தங்கள் மென்பொருளை எவ்வாறு பாதுகாக்க வேண்டும் என்பதற்கான வழிகாட்டுதல்களை விவரிக்கின்ற சைபர் பாதுகாப்பு செயல்படுத்திடுகின்ற உத்திரவினை வெளியிட அமெரிக்காவைத் தூண்டியது.
மத்திய அரசால் பயன்படுத்தப்படும் மென்பொருள் பயன்பாடுகளின் பாதுகாப்பையும் ஒருமைப்பாட்டையும் உறுதி செய்வதற்கான பரிந்துரைகளில் SBOMகளுக்கான தேவையும் இருந்தது.
அமெரிக்காவில் மென்பொருளை உருவாக்குகின்ற எந்தவொரு நிறுவனமும் இப்போது அதன் குறிமுறைவரிகளின் தளங்களுக்கு SBOMகளை கண்டிப்பாக பராமரிக்க வேண்டும் என்ற நிலை தற்போது உள்ளது.
மென்பொருள் விநியோகச் சங்கிலி மேலாண்மை நிறுவனமான Sonatypeஆனது, Red Hat உடன் இணைந்து, Kubernetes இயங்குதளத்தில் SBOM சான்றிதழை வழங்குகிறது. Red Hat OpenShift உடன் Sonatype Nexus Lifecycle ஆனது, வெளிப்படைத்தன்மையை அதிகரிக்க , இணைய தாக்குதலை கட்டுபடுத்திட, மென்பொருளுடன் தானியங்கியான உற்பத்திக்கு தயாராக உள்ள SBOM ஐ எளிதாக ஒருங்கிணைக்க முடியும்.
இருப்பினும், SBOMகள் இன்றைய நிலையில் சில சரியானதரநிலைகளைக் கொண்டிருக்கவில்லை. கூகுள் , மைக்ரோசாப்ட் போன்ற தொழில்நுட்ப ஜாம்பவான்கள் தங்கள் மேககணினி பயன்பாடுகளின் பாதிப்பைக் கண்காணிக்க உதவ, இந்த தரநிலைகளுக்கு அழுத்தம் கொடுக்கின்றனர்.
பல SBOMகள் மென்பொருள் அடுக்கின் வெவ்வேறு நிலைகளில் உருவாக்கப்படுகின்றன. முழு விநியோகச் சங்கிலியின் முழுமையான தணிக்கையின் தடத்தை வைத்திருப்பதற்கும், ஒரு தனிச்சிறப்பு (மீச்சிறு சேவை, எண்ணிம, நூலகம் போன்றவை) உருவாக்குவதற்கும் தேவையான பல்வேறு நிலைகளுள் படம் 1 இல் காட்டப்பட்டுள்ளன.
படம் 1: SBOMகள் உருவாக்கப்படும் பல்வேறு நிலைகள்
சவால்கள்
நம்முடைய ஒட்டுமொத்த பாதுகாப்பு நடைமுறைகளுக்கு SBOMகள் முக்கியமானதாக இருக்கலாம், ஆனால் அவை சரியானவை அல்ல.
இன்று தாக்குதல் செய்பவர்கள் குற்றப்படுத்தப்பட்ட பழங்கால பொருட்களை மென்பொருள் அமைப்பில் அறிமுகப்படுத்தலாம். மூலக் குறிமுறிவரிகளைத் தொகுப்பதற்கான நிலையான SBOM இன்னும் கிடைக்கவில்லை, மேலும் SBOMகளை உருவாக்கப் பயன்படுத்தப்படும் கருவிகளும் சவால்களைக் கொண்டுள்ளன. Rust’s cargo.lock , NPM’s apt-cache போன்ற SBOM-உருவாக்கும் கோப்புகள் அபகரிக்கப்படலாம். இதன் விளைவாக, SBOM கூறுகளை எளிதாகக் கையாளலாம் , அவற்றின் படைப்பாளர்களை ஏமாற்றிடுமாறு திருத்தலாம்.
இன்றைய SBOM களில் முரண்பாடுகள், பிழைகள் , முழுமையற்ற தரவுகள் உள்ளன. சக்திவாய்ந்த மூலக் குறிமுறைவரிகளின் முறையற்ற பகுப்பாய்வு பலவீனமான இணைய பாதுகாப்பு அமைப்பை ஏற்படுத்தக்கூடும். மேகக்கணியில் அதிக பணிச்சுமைகள் சேர்க்கப்படுவதால், SBOMகளைப் புரிந்துகொள்வதும் தணிக்கை செய்வதும் முக்கியமானதாகிறது. அத்தகைய சந்தர்ப்பங்களில் திறமையான SBOM-உருவாக்கும் கருவிகள் தேவைப்படுகின்றன.
மேககணினியின் மாறும் வேகம் SBOMகளுக்கு பெரும் சவாலாக உள்ளது. SBOMகள் மேககணினியின் உள்ளமைவுகளுடன் நிமிடத்திற்கு நிமிடம் மாறினால், அவை அதிகப்படியான தகவல்களை உருவாக்கக்கூடும், இது வாடிக்கையாளர்களின் பயன்பாட்டைத் தடுக்கலாம். மேககணினியின் SBOMகள் இந்த torrent தரவை நிர்வகிக்க வேண்டும்.
SBOMகளை உருவாக்குவதன் மூலம் பாதுகாப்பான மென்பொருளை உருவாக்குதல்
மென்பொருளின் பொருட்களுக்கான பட்டியலைஉருவாக்குவது (SBOM) DevOps செயல்முறையின் ஒரு பகுதியாகும்.
அதிர்ஷ்டவசமாக, தற்போதுSBOMகளை உருவாக்க உதவும் பல கருவிகள் உள்ளன. SBOMகளை உருவாக்குவதற்கான படிமுறைகள் பின்வருமாறு:
SBOM உருவாக்க அதற்கான சரியான கருவியைத் தேர்வு செய்திடுக. உதாரணமாக, Syft ஐப் பயன்படுத்துவதாக கொள்க.
Syft ஐ பதிவிறக்கம் செய்து நிறுவுகைசெய்திடுக.
நமக்குத் தேவையான SBOM வெளியீட்டு வடிவமைப்பைத் தீர்மானித்திடுக.
விரும்பிய மூலத்திற்கு எதிராக Syft ஐ இயக்கிடுக: syft
<source> -o<formatc>
SBOM உற்பத்தியானளர்கள் பெரும்பாலும் பைதான் அல்லது கோ போன்ற ஒரு குறிப்பிட்ட சுற்றுச்சூழல் அமைப்புக்கு குறிப்பிட்டவை. சில பல்வேறு சூழல் அமைப்புகளுக்கும் சூழல்களுக்கும் SBOMகளை உருவாக்கும் திறன் கொண்டவை. மிகவும் பிரபலமான சில SBOM கருவிகள் பின்வருமாறு:
Syft by Anchore
Tern
Kubernetes BOM tool
spdx-sbom-generator
Buildx and BuildKit of Docker
எந்தவொரு SBOM தீர்வின் முதன்மையான கவனம் திறமூலக் குறிமுறைவரிகளில் இருக்க வேண்டும். திறமூல கூறுகள் இன்றைய பயன்பாடுகளில் 60-80 சதவீதத்தை உள்ளடக்கியது, மேலும் அவற்றின் பயன்பாடு அதிவேகமாக விரிவடைந்துகொண்டேவருகிறது. துரதிர்ஷ்டவசமாக, இணைய தாக்குதல் செய்பவர்களுக்கு திறமூலம் கவர்ச்சிகரமானதாக இருக்கிறது. 2020 ஆம் ஆண்டில், திறமூலக் குறிமுறைவரிகள் கிட்டத்தட்ட 10,000 எண்ணிக்கையிலான சைபர் தாக்குதல்களை பெற்றன.
நிறுவனங்கள் தாங்கள் உருவாக்குகின்ற, நுகருகின்ற செயல்படுத்திடு கின்ற அனைத்து மென்பொருட்களையும் துல்லியமாகப் பதிவுசெய்து சுருக்கிக் கூற முடியாது. தெரிவுநிலை இல்லாமல், மென்பொருள் விநியோகச் சங்கிலிகள் பாதுகாப்பு , இணக்கமான அபாயங்களுக்கு ஆளாகின்றன. SBOMகள் மென்பொருள் விநியோகச் சங்கிலியில் தெரிவுநிலையை மேம்படுத்துகின்றன. புதிய மென்பொருளைப் பெறுவதற்கு முன் அதன் அபாயத்தை நன்கு புரிந்துகொள்ள நிறுவனங்கள் SBOMகளைப் பயன்படுத்திகொள்வது நல்லது என பரிந்துரைக்கப்படுகின்றது.