Rendi automatica la creazione della SBOM
Come creare rapidamente un'accurata Software Bill of Materials (SBOM)
L'enorme aumento dei recenti attacchi alla catena di fornitura del software ha spinto il governo federale degli Stati Uniti e le aziende di tutto il mondo a richiedere le SBOM come prassi aziendale standard.
Perché hai bisogno di una SBOM?
Secondo Gartner, oltre il 70% delle applicazioni utilizza componenti software open source (OSS) per accelerare i cicli di sviluppo, ma questo comporta rischi legali, di sicurezza e di obsolescenza. L'uso onnipresente di OSS nella catena di fornitura del software ha aumentato l'esposizione delle organizzazioni ad attacchi di sicurezza da parte di hacker e ad azioni legali da parte dei proprietari della proprietà intellettuale. Questo ha portato le organizzazioni di tutte le dimensioni ad adottare un nuovo standard per il controllo dei rischi legati all'open source, richiedendo una SBOM che accompagni qualsiasi software in fase di delivery, come il recente ordine esecutivo (EO) sulla cybersecurity emesso dal governo federale degli Stati Uniti. Qualsiasi azienda che oggi voglia fornire software deve essere in grado di produrre una SBOM con velocità e precisione.
Cosa c'è in una SBOM?
- Inventario di tutti i componenti open source
- Dettagli del componente (versione, data di rilascio, ecc.)
- Vulnerabilità di sicurezza (CVE) e criticità
- Licenze e livelli di rischio
- Possibili conflitti di licenza
- Dipendenze transitive
- Punti deboli del software (CWE)
- Raccomandazioni sulle versioni più sicure dei componenti
Guarda un esempio di SBOM
Come si automatizza la creazione di una SBOM?
CAST Highlight, un prodotto di software intelligence, si collega direttamente ai repository del codice sorgente e analizza le applicazioni in pochi minuti, senza interrompere gli sviluppatori. Esegue l'analisi della composizione del software (SCA) di un portfolio applicativo e crea automaticamente un inventario completo dei componenti di terze parti e Open Source utilizzati nella base del codice, comprese le versioni delle licenze. Evidenzia le esposizioni alle licenze e le vulnerabilità di sicurezza, oltre a fornire raccomandazioni sugli interventi correttivi più critici necessari. Le SBOM possono essere visualizzate ed esportate in Excel, Word, PPT e CycloneDX.
Cosa succede se si vuole leggere un file SBOM già esistente?
Le organizzazioni hanno spesso bisogno di consultare una SBOM esistente ricevuta da una fonte esterna, come un fornitore di software. CAST Highlight legge automaticamente anche una SBOM importata in formato CycloneDX e genera tutti gli stessi approfondimenti SCA anche se l'applicazione non viene analizzata direttamente da CAST Highlight.
Impara le best practice per automatizzare le SBOM da Broadridge
L'esperienza dei nostri clienti
CAST Highlight ci ha permesso di valutare i rischi OSS in tutte le nostre applicazioni in minuti rispetto a centinaia di ore.
Marilyn Hartnett
VP, Open Source Governance
Abbiamo provato delle alternative. Raccomandiamo CAST Highlight per la sua velocità e il suo costo inferiore.
Keith MacKay
Managing Director