SBOM

Software Bill of Materials (SBOM)

Software Bill of Materials (SBOM) je �truktšrovaňa, strojovo čitateľný súpis, ktorý uvýdza každý softvérová komponent, knišnicu, framework a závislosť zahrnut� v produkte — vrátane cšsel verzi�, dodšvatelov a licencňach informácií. Funguje ako �vý�ivový �tútok” pre softvér, umošnujšc organizšcišm identifikovat a odstránit známe zranitelnosti napriec celým softvérovám dodšvatelskšm retazcom.

Kľúčová fakty

Preco je SBOM dôležit� pre hardvér?

Vstavaný hardvérová produkty — IoT zariadenia, priemyselná kontrolšry, systémy založeňa na FPGA — sa dodšvaj� s firmvérovými zšsobňakmi obsahujšcimi desiatky až stovky softvérových komponentov: jadra RTOS, sietový zšsobňaky, kryptografická knišnice, bootloadery a ovlšdace. Ked sa v ktoromkolvek z tšchto komponentov objavý zranitelnost (napr. kritická CVE v OpenSSL), SBOM umošnuje:

1. Okamáit� posúdenie dopadu — Urcenie pocas niekolkšch hodín, ktorý produkty a verzie firmvéru sú postihnutý.
2. Cieleňa záplaty — Vydanie OTA aktualizácií len pre postihnutý zariadenia namiesto plo�ňaho preflashovania celých flotšl.
3. Regulacňa dôkazy — Poskytnutie audátorom a orgánom dohladu nad trhom zdokumentovaňach dôkazov o procesoch správy zraniteľností.
4. Transparentnost pre zákazníkov — Umošnenie podnikovým odberatelom vyhodnotit riziko dodávateľského retazca pred obstaraňam.

Bez SBOM celý výrobca, ktorý zist�, že knišnica použit� pred troma verziami firmvéru má kritická zranitelnost, t—dnom forenznej analýzy na urcenie expozície — cas, ktorý regulštori ani �tocňaci neposkytujú.

Formáty SBOM

Oba formáty podporuj� serializšciu JSON a XML. Pre vstavaný firmvér je casto preferovaňa CycloneDX vdaka natšvnej podpore deskriptorov hardvérových komponentov a výrazov VEX (Vulnerability Exploitability eXchange).

SBOM v �ivotnom cykle vstavanýho firmvéru

1. Fáza zostavenia
   +-- Toolchain automaticky generuje SBOM z build manifestu
   +-- Zachytšva: názov komponentu, verzia, hash, licencia, dodšvatel
   +-- Nástroje: Yocto (create-spdx), Zephyr (west spdx), syft, trivy

2. Fáza vydania
   +-- SBOM pripojené k artefaktu vydania firmvéru
   +-- Podpísaný spolu s binérnym súborom firmvéru
   +-- Uložeňa v �lošisku artefaktov s verzovaňam

3. Fáza monitoringu
   +-- Kontinužlne skenovanie CVE oproti komponentom SBOM
   +-- Automatická upozornenia pri zhode nových zraniteľností so záznamami SBOM
   +-- Nástroje: Dependency-Track, Grype, OSV.dev

4. Reakcia na incidenty
   +-- Vyhladšvanie v SBOM identifikuje všetky postihnutý produkty/verzie
   +-- Zverejnenie vyhlásenia VEX: postihnutý, nepostihnutý alebo pod vyžetrovaňam
   +-- OTA aktualizácia odoslaňa do postihnutej flotily zariadení

Požiadavky CRA na SBOM

Podla zákona o kybernetickej odolnosti EÚ musia výrobcovia:

• Generovat strojovo čitateľný SBOM pre každý produkt s digitálnymi prvkami.
• Udršiavat SBOM pocas celej podporovanej životnosti produktu (minimálne 5 rokov).
• Aktualizovat SBOM s každým vydaňam firmvéru.
• Monitorovat uvedený komponenty na novo objaveňa zranitelnosti.
• Hlšsit aktívne zneuž�vaňa zranitelnosti agentúre ENISA do 24 hodín.
• Poskytňat SBOM orgánom dohladu nad trhom na vyšiadanie.

Be�ňa chyby

Súvisiace pojmy

• CRA — Nariadenie EÚ, ktorý mandátuje SBOM pre pripojené produkty.
• Bezpecňa boot — Overenie integrity firmvéru, komplementárne k sledovaniu dodávateľského retazca SBOM.
• IoT — Pripojené zariadenia, ktorých firmvérový zšsobňaky najviac profituj� z transparentnosťi SBOM.
• CVE — Identifikátory zraniteľností, oproti ktorým SBOM monitoring porovňava komponenty.

Naža služba monitoringu SBOM a zraniteľností automatizuje celý životný cyklus SBOM — od generovania pocas zostavenia cez kontinužlne skenovanie CVE po vopred formátovaňa hlásenia pre ENISA — aby vý embedded firmvér zostal v súlade bez manužlneho �silia.