Differences
This shows you the differences between two versions of the page.
|
ss:laboratoare:08 [2025/02/20 16:30] 127.0.0.1 external edit |
ss:laboratoare:08 [2025/02/26 00:39] (current) jan.vaduva [Laborator 8: Generarea și Utilizarea SBOM (Software Bill of Materials)] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ===== Laboratorul 08. ===== | + | ====== Laborator 8: Generarea și Utilizarea SBOM ====== |
| + | |||
| + | ===== Obiective ===== | ||
| + | * Înțelegerea conceptului de **Software Bill of Materials (SBOM)** și importanța sa în securitatea aplicațiilor | ||
| + | * Generarea unui SBOM pentru una dintre aplicațiile dezvoltate în laboratoarele anterioare | ||
| + | * Analiza componentelor software și a dependențelor pentru identificarea vulnerabilităților | ||
| + | * Integrarea SBOM într-un proces CI/CD pentru actualizarea automată a inventarului software | ||
| + | * Utilizarea SBOM pentru conformitate și raportare | ||
| + | |||
| + | ===== Cerințe tehnologice ===== | ||
| + | * **Generare SBOM**: Syft, CycloneDX, SPDX | ||
| + | * **Analiză vulnerabilități**: Grype, OWASP Dependency-Check, Snyk | ||
| + | * **CI/CD Integration**: GitHub Actions, GitLab CI, Jenkins | ||
| + | * **Format SBOM**: JSON, XML (CycloneDX, SPDX) | ||
| + | * **Securitate și conformitate**: NIST SSDF, ISO 27001 | ||
| + | |||
| + | ===== Funcționalități ===== | ||
| + | |||
| + | ==== 1. Generarea unui SBOM pentru proiect ==== | ||
| + | * Utilizarea unui tool (ex. Syft, CycloneDX) pentru a genera automat un SBOM | ||
| + | * Exportarea SBOM în format JSON/XML și analiza sa | ||
| + | |||
| + | ==== 2. Analiza componentelor și identificarea vulnerabilităților ==== | ||
| + | * Utilizarea SBOM pentru scanarea dependențelor și găsirea CVE-urilor | ||
| + | * Integrarea unui tool precum Grype pentru analiza statică a vulnerabilităților | ||
| + | |||
| + | ==== 3. Automatizarea procesului SBOM în CI/CD ==== | ||
| + | * Generarea SBOM la fiecare build și adăugarea sa în artifacte | ||
| + | * Scanarea periodică a SBOM pentru a detecta noi vulnerabilități | ||
| + | |||
| + | ==== 4. Utilizarea SBOM pentru conformitate și raportare ==== | ||
| + | * Validarea compatibilității componentelor cu standardele de securitate | ||
| + | * Crearea unui raport privind componentele open-source și licențele utilizate | ||
| + | |||
| + | ===== Evaluare ===== | ||
| + | * Generarea și exportul SBOM pentru aplicație (25%) | ||
| + | * Analiza vulnerabilităților identificate și propunerea unor soluții (30%) | ||
| + | * Integrarea procesului SBOM în pipeline-ul CI/CD (30%) | ||
| + | * Crearea unui raport de conformitate și securitate (15%) | ||
| + | |||
| + | ===== Resurse suplimentare ===== | ||
| + | * [https://cyclonedx.org CycloneDX Documentation] | ||
| + | * [https://spdx.dev SPDX Specification] | ||
| + | * [https://anchore.com/syft Syft - SBOM Generator] | ||
| + | * [https://owasp.org/www-project-dependency-check/ OWASP Dependency-Check] | ||
| + | * [https://grype.dev Grype - Vulnerability Scanner] | ||
