Tetapkan dan Kelola Inventaris Komponen Perangkat Lunak Pihak Ketiga
Deskripsi
Tetapkan dan kelola inventaris terkini dari komponen perangkat lunak pihak ketiga yang digunakan dalam pengembangan, sering disebut sebagai "Bill of Materials", serta komponen yang dijadwalkan untuk penggunaan di masa depan. Proses ini harus disertakan dalam proses pengembangan aplikasi yang aman.
Daftar Periksa Implementasi
Rekomendasi Alat
Keamanan aplikasi yang mengutamakan pengembang dengan SCA, pemindaian kontainer, keamanan IaC, dan SAST terintegrasi ke dalam CI/CD
Snyk · Langganan per pengembang
Rangkaian pengujian keamanan aplikasi dengan SAST (Coverity), SCA (Black Duck), dan DAST untuk AppSec yang komprehensif
Synopsys · Langganan per pengembang
Platform keamanan aplikasi cloud-native dengan SAST, SCA, DAST, keamanan API, dan pengujian keamanan rantai pasokan
Checkmarx · Langganan per pengembang
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Serangan Rantai Pasok melalui Library Pihak Ketiga yang Dikompromikan
IntegrityLibrary pihak ketiga yang banyak digunakan yang termasuk dalam aplikasi dikompromikan oleh penyerang yang menyuntikkan kode berbahaya ke dalam pembaruan, dan organisasi tidak menyadari karena tidak memiliki inventaris komponen pihak ketiga.
Kerentanan yang Diketahui dalam Dependensi yang Tidak Terlacak Dieksploitasi
ConfidentialityCVE kritis dipublikasikan untuk komponen open-source yang umum digunakan, tetapi organisasi tidak dapat menentukan aplikasi mana yang terpengaruh karena tidak ada software bill of materials.
Komponen Akhir Masa Pakai Tetap di Aplikasi Produksi
IntegrityLibrary pihak ketiga yang digunakan dalam aplikasi produksi mencapai akhir masa pakai dan berhenti menerima patch keamanan, tetapi ini tidak terdeteksi karena tidak ada inventaris yang melacak status dukungan komponen.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Software Bill of Materials (SBOM)
Tanpa inventaris komponen pihak ketiga, organisasi tidak dapat mengidentifikasi aplikasi mana yang menggunakan library rentan atau dikompromikan ketika ancaman baru diungkapkan.
Risiko Komponen Pihak Ketiga yang Tidak Terlacak
Ketiadaan inventaris komponen yang dipelihara berarti risiko yang terkait dengan setiap dependensi seperti kerentanan yang diketahui, masalah lisensi, dan status dukungan tidak dievaluasi atau dipantau.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |