Software Bill of Materials (SBOM)
Software Bill of Materials (SBOM) je �trukt�rovan�, strojovo citateln� s�pis, ktor� uv�dza ka�d� softv�rov� komponent, kni�nicu, framework a z�vislost zahrnut� v produkte � vr�tane c�sel verzi�, dod�vatelov a licencn�ch inform�ci�. Funguje ako �v��ivov� �t�tok” pre softv�r, umo�nuj�c organiz�ci�m identifikovat a odstr�nit zn�me zranitelnosti napriec cel�m softv�rov�m dod�vatelsk�m retazcom.
Kl�cov� fakty
| Detail | Inform�cia |
|---|---|
| Prim�rne form�ty | SPDX (ISO/IEC 5962:2021), CycloneDX (OWASP) |
| Mand�tovan� | Z�kon o kybernetickej odolnosti E� (2024/2847), US Executive Order 14028 |
| Term�n CRA | 11. december 2027 (pln� povinnosti) |
| Vztahuje sa na | V�etky produkty s digit�lnymi prvkami pred�van� na trhu E� |
| Rozsah | Firmv�r, OS, middleware, aplikacn� k�d, open-source kni�nice |
Preco je SBOM d�le�it� pre hardv�r?
Vstavan� hardv�rov� produkty � IoT zariadenia, priemyseln� kontrol�ry, syst�my zalo�en� na FPGA � sa dod�vaj� s firmv�rov�mi z�sobn�kmi obsahuj�cimi desiatky a� stovky softv�rov�ch komponentov: jadr� RTOS, sietov� z�sobn�ky, kryptografick� kni�nice, bootloadery a ovl�dace. Ked sa v ktoromkolvek z t�chto komponentov objav� zranitelnost (napr. kritick� CVE v OpenSSL), SBOM umo�nuje:
- Okam�it� pos�denie dopadu � Urcenie pocas niekolk�ch hod�n, ktor� produkty a verzie firmv�ru s� postihnut�.
- Cielen� z�platy � Vydanie OTA aktualiz�ci� len pre postihnut� zariadenia namiesto plo�n�ho preflashovania cel�ch flot�l.
- Regulacn� d�kazy � Poskytnutie aud�torom a org�nom dohladu nad trhom zdokumentovan�ch d�kazov o procesoch spr�vy zranitelnost�.
- Transparentnost pre z�kazn�kov � Umo�nenie podnikov�m odberatelom vyhodnotit riziko dod�vatelsk�ho retazca pred obstaran�m.
Bez SBOM cel� v�robca, ktor� zist�, �e kni�nica pou�it� pred troma verziami firmv�ru m� kritick� zranitelnost, t��dnom forenznej anal�zy na urcenie expoz�cie � cas, ktor� regul�tori ani �tocn�ci neposkytuj�.
Form�ty SBOM
| Form�t | Spravovan� | Siln� str�nky | Ekosyst�m |
|---|---|---|---|
| SPDX 2.3 | Linux Foundation (ISO �tandard) | Komplexn� licencovanie, ISO �tandardiz�cia | GitHub, Yocto, Zephyr |
| CycloneDX 1.6 | OWASP | Lahk�, zameran� na zranitelnosti, podpora VEX | N�stroje OWASP, Dependency-Track |
Oba form�ty podporuj� serializ�ciu JSON a XML. Pre vstavan� firmv�r je casto preferovan� CycloneDX vdaka nat�vnej podpore deskriptorov hardv�rov�ch komponentov a v�razov VEX (Vulnerability Exploitability eXchange).
SBOM v �ivotnom cykle vstavan�ho firmv�ru
1. F�za zostavenia
+-- Toolchain automaticky generuje SBOM z build manifestu
+-- Zachyt�va: n�zov komponentu, verzia, hash, licencia, dod�vatel
+-- N�stroje: Yocto (create-spdx), Zephyr (west spdx), syft, trivy
2. F�za vydania
+-- SBOM pripojen� k artefaktu vydania firmv�ru
+-- Podp�san� spolu s bin�rnym s�borom firmv�ru
+-- Ulo�en� v �lo�isku artefaktov s verzovan�m
3. F�za monitoringu
+-- Kontinu�lne skenovanie CVE oproti komponentom SBOM
+-- Automatick� upozornenia pri zhode nov�ch zranitelnost� so z�znamami SBOM
+-- N�stroje: Dependency-Track, Grype, OSV.dev
4. Reakcia na incidenty
+-- Vyhlad�vanie v SBOM identifikuje v�etky postihnut� produkty/verzie
+-- Zverejnenie vyhl�senia VEX: postihnut�, nepostihnut� alebo pod vy�etrovan�m
+-- OTA aktualiz�cia odoslan� do postihnutej flotily zariaden�Po�iadavky CRA na SBOM
Podla z�kona o kybernetickej odolnosti E� musia v�robcovia:
- Generovat strojovo citateln� SBOM pre ka�d� produkt s digit�lnymi prvkami.
- Udr�iavat SBOM pocas celej podporovanej �ivotnosti produktu (minim�lne 5 rokov).
- Aktualizovat SBOM s ka�d�m vydan�m firmv�ru.
- Monitorovat uveden� komponenty na novo objaven� zranitelnosti.
- Hl�sit akt�vne zneu��van� zranitelnosti agent�re ENISA do 24 hod�n.
- Poskytn�t SBOM org�nom dohladu nad trhom na vy�iadanie.
Be�n� chyby
| Chyba | Preco je d�le�it� | Spr�vny pr�stup |
|---|---|---|
| Manu�lna tvorba SBOM | N�chyln� na opomenutia, nemo�n� udr�iavat | Automatiz�cia generovania zo zostavovacieho syst�mu |
| Sledovanie len priamych z�vislost� | Tranzit�vne z�vislosti obsahuj� 60�80 % zranitelnost� | Zahrnutie �pln�ho stromu z�vislost� |
| Jednorazov� SBOM pri uveden� produktu | Zastaran� pocas niekolk�ch t��dnov s objavovan�m nov�ch CVE | Kontinu�lny monitoring s automatick�mi upozorneniami |
| �iadne vyhl�senia VEX | Nemo�nost komunikovat, ci CVE skutocne ovplyvnuje produkt | Publikovanie VEX spolu s SBOM pri ka�dom upozornen� |
S�visiace pojmy
- CRA � Nariadenie E�, ktor� mand�tuje SBOM pre pripojen� produkty.
- Bezpecn� boot � Overenie integrity firmv�ru, komplement�rne k sledovaniu dod�vatelsk�ho retazca SBOM.
- IoT � Pripojen� zariadenia, ktor�ch firmv�rov� z�sobn�ky najviac profituj� z transparentnosti SBOM.
- CVE � Identifik�tory zranitelnost�, oproti ktor�m SBOM monitoring porovn�va komponenty.
Na�a slu�ba monitoringu SBOM a zranitelnost� automatizuje cel� �ivotn� cyklus SBOM � od generovania pocas zostavenia cez kontinu�lne skenovanie CVE po vopred form�tovan� hl�senia pre ENISA � aby v� embedded firmv�r zostal v s�lade bez manu�lneho �silia.