Как мы реализовали SCA при помощи SBOM

Чем больше микросервисов в компании, тем веселее жизнь у тех, кто отвечает за безопасность. Количество зависимостей растёт, и в какой-то момент становится нереально уследить, откуда в коде может вылезти критичная уязвимость — будь то старая библиотека или транзитивная зависимость, о которой никто даже не помнит. Решение этого — SCA (Software Composition Analysis) автоматический анализ зависимостей, который помогает вовремя вылавливать уязвимые библиотеки и понимать, что с ними делать. Меня зовут Эрик Шахов, я AppSec-инженер в Циан. В этой статье расскажу, как мы перестроили систему SCA, изменили её архитектуру и какие инструменты теперь используем для контроля зависимостей. Поделюсь реальным опытом внедрения SBOM (Software Bill of Materials) и тем, как он помогает нам держать код в порядке.

https://habr.com/ru/companies/cian/articles/900040/

SBOMs are more than an inventory—they're a critical tool for securing modern software development. Our latest guide breaks down @SBOM fundamentals, key standards like #SPDX and #CycloneDX, and real-world use cases for security, compliance, and DevSecOps. Download now https://get.anchore.com/sbom101-guide-for-devsecops-community/

Socket Joins TC54: Pioneering Standards for Software Supply Chain Security

In a significant move for software supply chain security, Socket has joined TC54 to contribute to the development of standards like SBOMs and CycloneDX. This collaboration aims to enhance the security...

https://news.lavx.hu/article/socket-joins-tc54-pioneering-standards-for-software-supply-chain-security

Exciting news: Socket is now part of TC54! We're joining forces to help shape the future of SBOMs, CycloneDX, and PURL, making software supply chains more secure & transparent.

https://socket.dev/blog/socket-joins-tc54 #SBOM #CycloneDX #PURL #cybersecurity

OWASP CycloneDX are coming to FOSDEM! We'll speak in many dev rooms and in the main track. Let's meet!

Kick off 2025 right! Join our weekly #SBOM webinar series starting Jan 14. Learn from experts like Kate Stewart (#SPDX) & Steve Springett (#CycloneDX) and master the art of securing your software supply chain.

Read the blog post to get a sneak peek. https://anchore.com/blog/all-things-sbom-in-2025-a-weekly-webinar-series/

Was sind SBOMs?

Ein neuer Beitrag auf meinem Blog. Grundlagen zum Thema SBOMs.

https://blog.security-manufaktur.de/sbom/bom/cyclonedx/spdx/opensource/oss/2024/12/17/sbom-grundlagen.html

Bloggingsaturday?

"Das Spiel mit dem Open Source Feuer"?

https://blog.security-manufaktur.de/sbom/cyclonedx/spdx/opensource/oss/kehl/2024/12/07/sbom-security-insider.html

Mich störte die Formulierung massiv, also schrieb ich einen Blog Eintrag dazu.

If your company creates software that manage Software Bill of Material data - SBOMs - then you want to take part of the standardisation of an ECMA standard API for exchanging software transparency artefacts. Join us on November 25th! http://teaintro.eventbrite.com #SPDX #SBOM #INTOTO #CYCLONEDX #OWASP

Got SBOMs? Need to subscribe to SBOMs or publish SBOMs? Join our coming webinar on Project Koala - The OWASP Transparency Exchange API!

Monday Nov 25 at 17:00 CET.

Free registration at https://teaintro.eventbrite.se

We've published our first edition of SBOM Live! A one hour webinar covering SBOMs.

#SBOM #CRA #CYCLONEDX #SPDX

https://youtu.be/iz15RmjMA9c?si=-y9GW-fSDvXiGFir

Join me and Anthony Harrison on our first SBOM Europe webinar! Read more and register on https://sbomeurope01.eventbrite.com

Секреты успешного SCA: использование режима evinse в cdxgen. Часть I

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen . Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать . Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах. Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!

https://habr.com/ru/companies/swordfish_security/articles/840922/

The Software Bill of Materials (SBOM) is in the spotlight - many regulations world wide point to the SBOM as a central document in vulnerability handling. But are all SBOMs really useful? Listen to Daniel Liszka talk about "SBOMs that you can trust - the good, the bad and the ugly" at the Nordic Software Security Summit in September. Register today at https://nsss.se

#SBOM #CYCLONEDX #SPDX #NSSS24
@CycloneDX

Are you implementing SBOM in your software? If so, please join the work on the OWASP Transparency Exchange API. We are working to standardise the exchange of various artefacts, including SBOM and VEX files.

Read more on https://github.com/CycloneDX/transparency-exchange-api

The Cybersecurity Ontology Network: the first building block for a comprehensive Cybersecurity Knowledge Graph

https://www.linkedin.com/posts/alexgarciac_cybersec-knowledge-grah-activity-7219262397075640322-6rGT/

Paper presented at https://www.iai.kit.edu/ok4i/

#FOIS2024 @KIT_Karlsruhe #UniMurcia #UniBasqueCountry #SiemensEnergy

Excited to re-post the news that the #OWASP #CycloneDX v1.6 Bill of Materials (#SBOM #xBOM) specification has just been officially ratified as an International Standard by Ecma International!
https://cyclonedx.org/news/cyclonedx-v1.6-now-an-ecma-international-standard/

Beware tools that promise you #CycloneDX support. One tool that does great with java fails to link bom-ref when faced with JS in the same project. That leaves the JS libraries dangling and not being attached to the parent component.

#OASIS has launched an open software supply chain info modeling (#OSIM) TC , which aims to standardize and promote open #informationmodels for software provenance and #supplychain #security. How do #SBOM, VEX, CSAF, #CycloneDX, and all that fit together? Come see. Checkmarx, Cisco, Cyware, Google, IBM, LegitSecurity, Microsoft, Root, SAP, CISA, and US NSA are already in.
https://www.oasis-open.org/2024/06/20/oasis-launches-osim/