Da qualche tempo si sente parlare più spesso dello SBOM - Software Bill of Materials in ambito cybersecurity. Lo SBOM viene spesso nominato nel caso di attacchi alla supply chain, presentato come soluzione ottimale per aumentare le difese.
Ma cos'è di preciso lo SBOM e qual è il suo ruolo nella protezione aziendale? Lee Mangold, CISO e VP di Security presso Fortress Information Security, definisce lo SBOM come un inventario che contiene tutte le informazioni sui software in uso.
Elemento centrale per lo sviluppo software, questo documento comprende la lista di componenti, librerie e processi usati per sviluppare un prodotto. Lo SBOM è fondamentale per conoscere l'intera supply chain e le parti che la compongono, in modo da gestire al meglio le minacce.
Avere una lista completa dei software in uso e delle loro componenti è essenziale per conoscere le vulnerabilità di ognuna di esse e i diversi livelli di rischio. In questo contesto si inserisce il VEX - Vulnerability Exploitability eXchange, un documento integrato nello SBOM che dettaglia le vulnerabilità delle componenti e fornisce informazioni utili per gestirle.
Il problema, spiega Mangold, è che generare uno SBOM non è una pratica diffusa, tanto meno redigere un VEX; di conseguenza, le poche aziende che si ritrovano ad averci a che fare non sanno come utilizzarli al meglio.
I fornitori di servizi sono i primi che dovrebbero fornire informazioni dettagliate sui software, comprensive di tutte le funzionalità. Lo SBOM e il VEX non devono limitarsi a essere due liste di componenti e vulnerabilità, ma devono anche contenere tutte le indicazioni utili affinché i clienti possano confrontare i software e scegliere quello che più si adatta alle loro esigenze.
Solo conoscendo a fondo i software in uso e le loro vulnerabilità è possibile proteggere in maniera efficace la propria azienda e definire programmi di manutenzione che massimizzino il valore delle componenti.