Pubblicata la guida "Cloud Supply Chain Security
Gli attacchi alla supply chain sono aumentati in modo significativo. La guida pubblicata dall'Associazione tedesca per la sicurezza informatica descrive, oltre alla distinta base del software (SBOM), ulteriori misure di protezione che possono essere adottate dalle aziende utenti per migliorare la sicurezza della catena di fornitura del cloud.
Nel settore IT, la supply chain è la catena di fornitura di tutti i sottoprodotti e le consegne che compongono un servizio o un'applicazione IT. Per qualsiasi tipo di software, ma soprattutto per i servizi cloud, tale catena di fornitura è costituita da innumerevoli fornitori e prodotti che sono direttamente o indirettamente utilizzati o contribuiscono alla creazione o all'esecuzione delle parti. Questo è quanto scrive l'Associazione tedesca per la sicurezza informatica (TeleTrust). Nel migliore dei casi, il produttore o il fornitore delle parti controllerà le proprietà di sicurezza dei componenti direttamente utilizzati. Tuttavia, l'utente di solito non ha la possibilità di determinare l'uso di un componente interessato, né di lavorare per l'eliminazione delle vulnerabilità: uno stato di cose inaccettabile, secondo TeleTrust.
Fornitura di SBOM come standard di mercato
Per risolvere il problema della mancanza di trasparenza, la strada da percorrere è quella della distinta base del software (SBOM). Un SBOM è un elenco di tutti i componenti contenuti in un'applicazione software. "Man mano che emergono nuove scoperte su falle e vulnerabilità in questi componenti, gli utenti possono determinare rapidamente se possono essere colpiti e se le applicazioni che utilizzano sono a rischio", sottolinea TeleTrust. Si prevede che la fornitura di SBOM da parte di fornitori e operatori di software e servizi diventerà uno standard di mercato.
Oliver Dehning, responsabile di TeleTrust "Cloud Security" AG: "Le distinte base aggiornate dei software (SBOM) sono la base per una maggiore trasparenza nella catena di fornitura del cloud e quindi per una maggiore sicurezza nell'utilizzo dei servizi cloud. Gli utenti possono contribuire in modo significativo al miglioramento della sicurezza nella loro catena di fornitura del cloud se includono la fornitura di SBOM da parte dei fornitori nel loro catalogo di requisiti. I fornitori, a loro volta, dovrebbero mettere queste informazioni a disposizione dei loro utenti, consentendo così una gestione attiva della sicurezza informatica anche nel cloud".