tgoop.com/integral_security/1710
Last Update:
На современном этапе в большинстве секторов экономики модель цепи поставок, которую придумал еще Генри Форд, давно потеряла свою актуальность. Сегодня довольно сложно встретить вертикально интегрированную компанию, которая самостоятельно осуществляет полный цикл производства, да еще и управляет всеми звеньями поставок самостоятельно. Пожалуй, исключением, и то с большими оговорками, могут являться некоторые организации, работающие в области добычи полезных ископаемых.
Ну, а что касается цепочек поставок компонентов программного обеспечения —история совсем «веселая». При этом, очевидно, что риски, связанные с программным обеспечением в этом контексте, выходят за рамки уязвимостей и вредоносных программ. Производители уже и сами готовы использовать такие инструменты, как SBOM (Software Bills Of Materials). Вероятно, что эти накладные на материалы могли бы помочь справиться со сложной задачей мониторинга и обнаружения компрометации. Однако на практике большинству компаний не удается даже создать, не говоря уже о том, чтобы серьезно анализировать этот реестр. Потому что это сложно, много ручной работы и нет опыта. Но делать что-то надо.
Начнем с малого. Разбираемся что такое SBOM. Серия для «чайников». Переходите по ссылке.