Table of Contents
Laborator 8: Generarea și Utilizarea SBOM
Obiective
Cerințe tehnologice
Funcționalități
1. Generarea unui SBOM pentru proiect
2. Analiza componentelor și identificarea vulnerabilităților
3. Automatizarea procesului SBOM în CI/CD
4. Utilizarea SBOM pentru conformitate și raportare
Evaluare
Resurse suplimentare
Laborator 8: Generarea și Utilizarea SBOM
Obiective
Înțelegerea conceptului de
Software Bill of Materials (SBOM)
și importanța sa în securitatea aplicațiilor
Generarea unui SBOM pentru una dintre aplicațiile dezvoltate în laboratoarele anterioare
Analiza componentelor software și a dependențelor pentru identificarea vulnerabilităților
Integrarea SBOM într-un proces CI/CD pentru actualizarea automată a inventarului software
Utilizarea SBOM pentru conformitate și raportare
Cerințe tehnologice
Generare SBOM
: Syft, CycloneDX, SPDX
Analiză vulnerabilități
: Grype, OWASP Dependency-Check, Snyk
CI/CD Integration
: GitHub Actions, GitLab CI, Jenkins
Format SBOM
: JSON, XML (CycloneDX, SPDX)
Securitate și conformitate
: NIST SSDF, ISO 27001
Funcționalități
1. Generarea unui SBOM pentru proiect
Utilizarea unui tool (ex. Syft, CycloneDX) pentru a genera automat un SBOM
Exportarea SBOM în format JSON/XML și analiza sa
2. Analiza componentelor și identificarea vulnerabilităților
Utilizarea SBOM pentru scanarea dependențelor și găsirea CVE-urilor
Integrarea unui tool precum Grype pentru analiza statică a vulnerabilităților
3. Automatizarea procesului SBOM în CI/CD
Generarea SBOM la fiecare build și adăugarea sa în artifacte
Scanarea periodică a SBOM pentru a detecta noi vulnerabilități
4. Utilizarea SBOM pentru conformitate și raportare
Validarea compatibilității componentelor cu standardele de securitate
Crearea unui raport privind componentele open-source și licențele utilizate
Evaluare
Generarea și exportul SBOM pentru aplicație (25%)
Analiza vulnerabilităților identificate și propunerea unor soluții (30%)
Integrarea procesului SBOM în pipeline-ul CI/CD (30%)
Crearea unui raport de conformitate și securitate (15%)
Resurse suplimentare
[
https://cyclonedx.org
CycloneDX Documentation]
[
https://spdx.dev
SPDX Specification]
[
https://anchore.com/syft
Syft - SBOM Generator]
[
https://owasp.org/www-project-dependency-check/
OWASP Dependency-Check]
[
https://grype.dev
Grype - Vulnerability Scanner]