This is an old revision of the document!
Laborator 8: Generarea și Utilizarea SBOM (Software Bill of Materials)
Obiective
- Înțelegerea conceptului de Software Bill of Materials (SBOM) și importanța sa în securitatea aplicațiilor
- Generarea unui SBOM pentru una dintre aplicațiile dezvoltate în laboratoarele anterioare
- Analiza componentelor software și a dependențelor pentru identificarea vulnerabilităților
- Integrarea SBOM într-un proces CI/CD pentru actualizarea automată a inventarului software
- Utilizarea SBOM pentru conformitate și raportare
Cerințe tehnologice
- Generare SBOM: Syft, CycloneDX, SPDX
- Analiză vulnerabilități: Grype, OWASP Dependency-Check, Snyk
- CI/CD Integration: GitHub Actions, GitLab CI, Jenkins
- Format SBOM: JSON, XML (CycloneDX, SPDX)
- Securitate și conformitate: NIST SSDF, ISO 27001
Funcționalități
1. Generarea unui SBOM pentru proiect
- Utilizarea unui tool (ex. Syft, CycloneDX) pentru a genera automat un SBOM
- Exportarea SBOM în format JSON/XML și analiza sa
2. Analiza componentelor și identificarea vulnerabilităților
- Utilizarea SBOM pentru scanarea dependențelor și găsirea CVE-urilor
- Integrarea unui tool precum Grype pentru analiza statică a vulnerabilităților
3. Automatizarea procesului SBOM în CI/CD
- Generarea SBOM la fiecare build și adăugarea sa în artifacte
- Scanarea periodică a SBOM pentru a detecta noi vulnerabilități
4. Utilizarea SBOM pentru conformitate și raportare
- Validarea compatibilității componentelor cu standardele de securitate
- Crearea unui raport privind componentele open-source și licențele utilizate
Evaluare
- Generarea și exportul SBOM pentru aplicație (25%)
- Analiza vulnerabilităților identificate și propunerea unor soluții (30%)
- Integrarea procesului SBOM în pipeline-ul CI/CD (30%)
- Crearea unui raport de conformitate și securitate (15%)
Resurse suplimentare
- [https://cyclonedx.org CycloneDX Documentation]
- [https://spdx.dev SPDX Specification]
- [https://anchore.com/syft Syft - SBOM Generator]
- [https://owasp.org/www-project-dependency-check/ OWASP Dependency-Check]
- [https://grype.dev Grype - Vulnerability Scanner]
