O que é o Software Bill of Materials (SBOM), se sabe o que está dentro das suas aplicações, pode ficar surpreendido com a resposta.

Jan 26, 2022 | notícia

O que é o Software Bill of Materials (SBOM), se sabe o que está dentro das suas aplicações, pode ficar surpreendido com a resposta.

No actual mundo do desenvolvimento acelerado, os programadores utilizam frequentemente componentes de terceiros para criar aplicações. Com inúmeras bibliotecas por aí, é muito mais fácil para as equipas de desenvolvimento sair e encontrar componentes pré-construídos, em vez de os construir a partir do zero.

Com tantos programadores a sair e a encontrar componentes de código aberto para adicionar aos seus projectos, uma aplicação moderna contém em média 85% de código aberto. O que é que isto significa para a sua organização? Basicamente, conduz a uma situação em que outros “fizeram a mala” do seu software, mas não sabe o que é que eles puseram dentro dela.

O desconhecimento do que está dentro das suas aplicações pode levar a uma série de problemas. Se não souber o que está dentro do seu software, não sabe que partes do seu software são vulneráveis à segurança, ou pode estar a violar os requisitos de licenciamento dos criadores dos componentes de terceiros sem sequer se aperceber, levando a danos de reputação ou processos judiciais.

É inevitável que as suas aplicações contenham uma variedade de componentes de código aberto nesta altura. Portanto, a construção de uma lista de materiais de software é o próximo passo para obter conhecimento sobre o que está dentro deles.

O que é uma Lista de Materiais de Software?

Em essência, uma SBOM (Software Bill of Materials) mantém um registo de cada um dos componentes utilizados nas suas aplicações. Serve como um inventário dos trechos de código de terceiros que a sua equipa de desenvolvimento incorporou no software. Uma SBOM não só lista nomes de componentes, mas também detalhes tais como: informação de licenciamento, números de versão e vendedores.

Software Bill of Materials utilities

Os benefícios de uma SBOM rapidamente se tornam evidentes no funcionamento diário de uma organização. Aqui estão alguns casos de utilização em que a manutenção de uma SBOM ajuda a poupar tempo e recursos, e a manter a sua organização a salvo de vulnerabilidades de segurança.

 

1 Atenuação de vulnerabilidades críticas de dia-zero

Quando a vulnerabilidade crítica de 0 dias Log4j foi anunciada em Dezembro de 2021, muitos de nós sentimos o seu impacto. As organizações precisavam urgentemente de respostas a duas perguntas sobre as suas aplicações: ONDE utilizamos Log4j, que aplicações o contêm, qual a versão que utilizamos (a versão vulnerável ou uma versão anterior ou posterior)?

Com uma SBOM, estas perguntas podem ser respondidas em questão de minutos. Se puder consultar um inventário dos seus componentes, poderá descobrir onde se encontra o componente vulnerável e decidir rapidamente como proteger essas áreas específicas.

 

2 Requisitos de conformidade das licenças

Os componentes de fonte aberta estão frequentemente sujeitos a requisitos específicos de licenciamento. O não cumprimento destas licenças pode levar a danos de reputação, processos judiciais e muito mais.

Uma SBOM permite que a sua empresa evite mover software não conforme para a produção, trazendo os detalhes de cada componente de código aberto para um documento central.

 

3 Transparência e confiança do cliente

Uma SBOM cria transparência sobre o seu software em que os clientes podem confiar. Ao mostrar o que está dentro das suas ferramentas, está a investir nos seus clientes e no seu bem-estar, levando à lealdade e à repetição das vendas.

 

4 Melhores ciclos de desenvolvimento

As SBOM beneficiam directamente as equipas de desenvolvimento ao racionalizarem vários aspectos do SDLC.

Para um, minimiza a sobrecarga de código, que se manifesta em software lento e volumoso. Ao saber o que está dentro das aplicações, a sua equipa pode identificar diferentes componentes que desempenham a mesma função e eliminar peças redundantes ou desnecessárias.

Além disso, quando a equipa de segurança detecta vulnerabilidades, os programadores já não têm de passar tempo à procura do código em questão. Em vez disso, podem utilizar o SBOM como “tabela de conteúdos” para localizar vulnerabilidades.

 

5 Substituição de componentes desactualizados e sem garantia

Tal como os alimentos no seu frigorífico, os componentes do software têm “datas de validade” conhecidas como fim de vida (EOL). Uma vez atingido este ponto, os componentes já não são suportados pelo fornecedor com actualizações críticas e patches de segurança.

Com uma SBOM, é um processo rápido para a sua equipa encontrar estes componentes “expirados” e identificar substitutos.

Pronto para começar com a sua lista de materiais de software e colher os benefícios de manter um inventário detalhado dos seus componentes de código aberto?

 

Descubra mais sobre o nosso parceiro Sonatype e como ajudam as empresas a criar listas técnicas de software com a sua abordagem abrangente à análise da composição do software.

 

Descobrir mais:

Contacte-nos aqui
Panorama IT Consultora

Suscríbete a nuestro blog

España
map-icon

Cl Mahón 6, 1ª planta - 28290 Las Rozas, Madrid

tel-icon

+34 91 515 1390 | +34 656 161 700


Colombia
map-icon

Carrera 7 # 156 – 68, Of 1804 Edif. North Point III Bogotá

tel-icon

+57 1 9174704 | +57 311 831 8350 - +57 318 397 7678

Brasil
map-icon

Av. Ibirapuera 2102, Conjunto 134-CEP 04.028-001 Sao Paulo/SP

tel-icon

+55 11 91875 3931


México
map-icon

Calle Darwin 74, Col. Anzures, 11590 Ciudad de México

tel-icon

+52 55 6879 9902

Políticas de privacidad I Políticas de Calidad