SBOM v štátnej správe?

Myslíte ze na Slovensku v súčasných podmienkach by sa zvládol zaviesť povinný SBOM trebars pre ministerstvá a kľúčové úrady?

Co je SBOM v Tvojom slovniku ?

Ja to poznam takto : A software bill of materials[2] (SBOM) declares the inventory of components used to build a software artifact such as a software application.

Ano, presne to aj mojom. Ukazuje sa, ze v dnešnom svete je to veľmi osožná vec. A nielen kvôli cybersec. Aspoň by sa konečne tie zdrojaky vo vlastníctve štátu na niečo rozumné využili.

Zaujimavy pohlad, nenapadlo by mi, ze je to uzitocne aj pre cybersecurity. :+1:

Ja som sa zase s inym využitím nestretol :slight_smile: takže ked to je použiteľné na všeličo @jsuchal co povieš, stoji za to rozvinúť tuto tému?

Ja takto : https://cyclonedx.org/ alebo takto https://www.baeldung.com/spring-maven-bom

Priznam sa, ze tuto skratku som doteraz nepoznal. Vacsinou vsak poznam github/gitlab, ktore maju security CVE detection priamo v sebe (pre nejake jazyky/frameworky) aj s automatizaciou updatov.

To zas neviem ja ci nasa štátna správa ma svoje zdrojaky na platenom githube (pochybujem ci free poskytuje takú službu). Skor mam skúsenosť, že sa oznámi nejaká zraniteľnost v NIECO v1.4 a všetci začnú v panike zisťovať ci a kde všade vo svojich systémoch používajú NIECO v1.4

Tusim ze v US je na SBOM uz aj legislativa. Myslim ze to je jednou z uloh AppSecu vediet kde co je. A ako je povedane, je to nekonecny pain aj v komercii hladat ked sa objavi zranitelnost ze co je tym vsetko postihnute. Nielen CVE ale je dobre vediet aj to, co za hluposti ide dodavatel navlacit so svojim riesenim.

Podla mna: vsetko sa da ked je vola a chcenie. Aj SBOM.

Ale najprv by som zacal so samotnym procesom delivery, delivery chain a hupol by som zlahka napr do podpisovania kontajnerov, cosign atd az potom sa postupne dostal k SBOM.

Tak trochu som kecal. Vedel som ze Biden a spol z toho chceli upiect nejaku legislativu. US do toho celkom dost investovali ale stale su tam rozne otazniky. SBOM je relativne nova vec pre eGov. Kazdopadne zaujimave citanie o tom:

Zatial nema, ale je to moznost, ze by v buducosti mohol mat. (Ja osobne by som privital GitLab, ale … to je prave na tu buducu debatu.) Teraz sme v stave, ze mame nejaky zakon o ITVS a o.i. by sa mali niektore zdrojove kody zverejnovat. “Zverejnovanie” ma este pridaleko k nejakemu “celkovemu zivotnemu cyklu”, ale teda uz na tej ceste sme. Vid “code.gov.sk” v Komisia pre štandardy ISVS - PS1 - #120 by hanecak . (A pripadne tiez hladat cca “EUPL” v Obstarávanie a Open source , Softvér z verejných peňazí povinne slobodný a Zákon o ITVS .)