Já ouviu falar no conceito SBOM (Software Bill of Materials)?

Vivemos num mundo cada vez mais digital, onde o software é a espinha dorsal de quase todas as indústrias. Neste contexto, é essencial garantir a segurança deste software, bem como a da cadeia de fornecimento associada. Qualquer sistema que tenhamos atualmente é desenvolvido numa rede cada vez mais complexa de componentes e processos que produzem ou fazem parte do software necessário para o seu funcionamento.

A segurança de software e da sua cadeia de fornecimento, cada vez mais complexa, é um desafio crescente, como podemos constatar no último relatório da Synopsis "Open Source Security and Risk Analysis Report". Verificamos que 96% dos sistemas comerciais analisados em 2022 contêm componentes open source. Isto não seria problema, antes pelo contrário, se desenvolvêssemos as nossas aplicações na base de componentes robustos, seguros e atualizados. Assim, conseguiríamos ganhar tanto em tempo de desenvolvimento como na segurança das aplicações. Ao utilizar componentes já desenvolvidos e testados, corremos menos riscos de cometer erros e podemos contar com toda uma comunidade de programadores e analistas de segurança a olhar para estes componentes de fonte aberta, tornando-os cada vez mais seguros.

No entanto, não é de todo essa a imagem que obtemos ao ler este relatório. Em 2022, 89% das aplicações analisadas continham componentes desatualizadas há mais de quatro anos e 91% não tiveram novos desenvolvimentos nos últimos dois anos, seja novas funcionalidades ou correção de problemas de segurança. A utilização de componentes desatualizados, ou sem manutenção, leva-nos a uma situação de elevado número de componentes com fragilidades. Nesta análise, 84% das aplicações analisadas apresentavam vulnerabilidades conhecidas e 48% das aplicações continham falhas de segurança de elevado risco que estão a ser ativamente exploradas.

Como a maioria das aplicações comerciais depende de componentes open source, também é muito provável que quem desenvolveu esse componente tenha, por sua vez, utilizado vários outros módulos open source no seu desenvolvimento. Isto cria um efeito fractal, tornando-se extremamente complexo para uma entidade discernir todos os componentes de um software que adquiriu.

Para colmatar este problema e ajudar à melhoria da segurança do software desenvolvido, permitindo, ao mesmo tempo, uma gestão de risco da nossa cadeia de fornecimento de software, devemos ter sempre uma lista de materiais que compõe os sistemas utilizados. Já ouviu falar do conceito SBOM? SBOM (do inglês Software Bill Of Materials) é uma lista abrangente de todos os componentes de software que estão incluídos numa aplicação ou sistema. Este inventário inclui não só o programa de software principal, mas também todas as bibliotecas, frameworks e outras dependências de terceiros em que a aplicação se baseia. Ao criar uma SBOM, as organizações ganham uma visibilidade completa na sua cadeia de fornecimento de software, o que é essencial para uma gestão de vulnerabilidades e de risco eficaz.

Esta informação, fornecida de forma sistemática de todas as aplicações/sistemas utilizados, permite identificar e mitigar rapidamente quaisquer vulnerabilidades que possam existir, não só na aplicação principal mas também em qualquer um dos seus componentes. Este conhecimento é crucial, uma vez que uma vulnerabilidade numa biblioteca utilizada pela aplicação pode comprometer todo um sistema, basta olharmos para o caso do log4shell.

As listas SBOM podem também ajudar as organizações a identificar quaisquer potenciais problemas de licenciamento ou conformidade. Saber quais os componentes de software que estão a ser utilizados numa aplicação permite às organizações assegurar que estão a cumprir todos os requisitos legais e regulamentares. Isto é particularmente importante em indústrias com regulamentos de conformidade rigorosos, tais como a saúde e finanças. Ao identificar de forma atempada, clara e precisa, possíveis problemas de licenciamento ou de conformidade, as organizações podem evitar multas avultadas ou litígios judiciais.

A segurança da cadeia de fornecimento de software é fundamental para o sucesso de qualquer organização. Para a sua proteção ser efetiva é importante implementar uma estratégia de segurança abrangente que inclua fortes processos de autenticação, práticas de codificação seguras e processos eficazes de gestão da mudança. Além disso, é importante utilizar ferramentas de segurança e automatização para monitorizar e detetar quaisquer potenciais ameaças à segurança. Se não soubermos quais os componentes presentes nas aplicações utilizadas, é impossível efetuar uma gestão eficaz do risco a que estamos continuamente expostos.

Não há dúvidas de que a criação de uma lista SBOM ajudará sempre a manter a segurança e conformidade das organizações, diminuindo a hipótese de haver falhas de segurança. Assim, qualquer empresa deve pedir, especialmente quando se trata de desenvolvimentos à medida, a respetiva SBOM com a entrega do sistema final. Se não soubermos o que temos dentro da nossa própria empresa, nunca poderemos ter as soluções e respostas adequadas sobre como nos defendermos das ameaças, tanto internas como externas.