Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) запросило комментарии по обновлённой версии правительственного руководства, содержащего перечень минимальных элементов, необходимых для спецификации материалов программного обеспечения (Software bill of materials, SBOM).
SBOM — это машиночитаемый документ, в котором перечислены все программные пакеты, используемые организацией или отдельным бизнес-подразделением, и их зависимости, то есть другие элементы, на которых построено указанное ПО, включая компоненты с открытым исходным кодом.
В 2021 году Национальное управление по телекоммуникациям и информации США (NTIA) выпустило документ «Минимальные элементы SBOM NTIA 2021», чтобы помочь американским федеральным агентствам и коммерческим компаниям в разработке собственных спецификаций SBOM. Он был подготовлен в соответствии с Указом президента Байдена от мая того же года «Об улучшении кибербезопасности страны» (EO 14028).
В сентябре 2022 года Белый дом новым указом потребовал от вендоров, поставляющих продукцию правительству, предоставлять спецификацию SBOM. Цель заключалась в обеспечении достаточной защиты от кибератак всей цепочки поставок. В то время это решение вызвало споры: коалиция ассоциаций индустрии кибербезопасности опубликовала открытое письмо, призывая Конгресс США отложить введение требований SBOM для подрядчиков в сфере обороны, утверждая, что экосистема недостаточно зрелая. CISA тогда обязалось подготовить руководство, которое заменит Минимальные элементы SBOM NTIA 2021 года.
Недавняя активность, по-видимому, свидетельствует об изменении стратегии продвижения SBOM при администрации Трампа. В начале августа Фонд безопасности открытого исходного кода (OpenSSF) объявил о закрытии рабочей группы CISA по SBOM и о том, что сам он «подхватит эстафету» и создаст новую группу. Между тем CISA рассказало о намерении выпустить обновлённую версию минимальных элементов SBOM NTIA 2021 года, «отражающую улучшения в инструментах SBOM и возросшую зрелость».
В настоящее время CISA стремится привлечь общественность для содействия агентству в разработке нового руководства — специалистов в данной области, академических экспертов, представителей промышленности, общественные группы и лиц с соответствующим экономическим опытом.
Усам Оздемиров
.png)