Pemindai Lisensi dan Utilitas SBOM akan meningkatkan kemampuan standar Bill of Material Perangkat Lunak CycloneDX OWASP.
SBOM adalah daftar inventaris semua komponen individu yang digunakan dalam perangkat lunak. IBM telah menyumbangkan dua alat rantai pasokan open-source ke standar CycloneDX Software Bill of Materials (SBOM) dari Open Worldwide Application Security Project (OWASP) Foundation. Alat tersebut akan mengisi dua celah penting di CycloneDX, digambarkan OWASP sebagai standar BOM “full-stack” yang memberikan pengurangan risiko rantai pasokan tingkat lanjut.
Menanggapi berbagai serangan rantai pasokan dan kekacauan Log4j, Gedung Putih mengeluarkan perintah eksekutif yang mengamanatkan developer meningkatkan keamanan rantai pasokan mereka.
Upaya untuk membakukan SBOM telah dipercepat dengan peningkatan tajam dalam serangan rantai pasokan perangkat lunak selama dua tahun terakhir.
Pendukung CycloneDX yang lebih baru menggambarkannya sebagai standar yang lebih ringan yang lebih cocok untuk mereka yang mencari cara yang dapat dibaca mesin untuk bertukar informasi. Linux Foundation pada tahun 2021 menyatakan SPDX sebagai standar SBOM, meski pada awalnya dibuat untuk kasus penggunaan kekayaan intelektual dan lisensi. Kedua organisasi memperluas upaya standar SBOM masing-masing.
Diirektur keamanan produk di ServiceNow dan ketua kelompok kerja CycloneDX OWASP mengatakan bahwa IBM telah secara aktif berpartisipasi dalam memajukan upaya standar CycloneDX.
SBOM Utility dapat memproses dokumen seperti Vulnerability Disclosure Reports (VDRs) dan format data Vulnerability Exploitability eXchange (VEX), yang telah ditentukan oleh CycloneDX untuk memberikan penilaian risiko.
Selengkapnya: DARK Reading
