הערך של SBOMs וניתוח SBOM

פרסומת
X-ray_Promo1


פרסומת
ה-FDA פרסם לאחרונה הנחיות חדשות בנושא אבטחת סייבר ותוכנה במכשירים רפואיים: "אבטחת סייבר במכשירים רפואיים: שיקולי מערכת איכות ותוכן הגשות לפני השוק".
ההנחיה החדשה העלתה את חשיבות הרכב התוכנה ופגיעויות בעת הגשה ל-FDA. ככזה, שטרי חומרי תוכנה (SBOM) הפכו לפלט נדרש עבור כל ההגשות.

שילוב היצירה והניתוח של SBOMs במערכת בניית התוכנה האוטומטית שלנו שיפר את איכות התוכנה שאנו יוצרים עבור לקוחות מבלי להכביד על צוות הפיתוח שלנו.

מה זה SBOM?

SBOM הוא רשימה של כל רכיבי התוכנה בתוך מערכת תוכנה או מוצר. ה-SBOM מכיל את המטא נתונים עבור כל רכיב כולל השם, המחבר, הגרסה, תחת איזה רישיון הוא שוחרר ופרטים נוספים כדי לסייע בזיהוי כל רכיב בהיקף של כל הרכיבים הזמינים שניתן להשוות איתו, איור 1. הכל. מידע ה-SBOM זמין למפתחים ומאפשר להם לעקוב אחר תלות בתוכנה.

ניתוח SBOM של מכשירים רפואייםאיור 1: קטע של SBOM

ישנם שני פורמטים עיקריים ליצירת SBOMs. ה-OWASP נתן חסות פרויקט CycloneDX (איור 2), ושל קרן לינוקס פורמט SPDX. אנו משתמשים בתקן CycloneDX JSON SBOM לקטלוג סוגים רבים ושונים של תוכנות: קושחה, שירותי ענן, אפליקציות לנייד ומערכות הפעלה משובצות כגון QNX.

ניתן לשמור SBOMs גם בשני פורמטים שונים: JSON או קבצי XML. בעוד ש-XML היה בתחילה הפורמט הנתמך ביותר, JSON עקף לאחרונה את ה-XML כפורמט הבחירה עבור רוב המערכות לפי מספר מקורות.

ניתוח SBOM של מכשירים רפואייםאיור 2: מרכז הכלים CycloneDX כולל מספר כלי קוד פתוח ליצירת SBOM

למה SBOM?

לאיסוף כל המידע הזה ל-SBOM יש מספר יתרונות מרכזיים. ראשית, SBOM יכול לעזור לארגונים לזהות ולעקוב אחר רכיבי התוכנה המשמשים במערכות שלהם. זה חשוב מכיוון שפגיעות תוכנה רבות נמצאות ברכיבים של צד שלישי, וארגונים עשויים שלא להיות מודעים באילו רכיבים הם משתמשים. על ידי שמירה על SBOM, ארגונים יכולים לקבל הבנה ברורה של המערכת האקולוגית של התוכנה שלהם ולהיות מוכנים טוב יותר לטפל בכל נקודות תורפה שמתעוררות.

שנית, ניתן להשתמש ב-SBOM כדי להעריך את מצב האבטחה של מערכת תוכנה. על ידי ניתוח הרכיבים המפורטים ב-SBOM, ארגונים יכולים לקבוע אילו רכיבים מיושנים, בעלי נקודות תורפה ידועות או שאינם נתמכים עוד על ידי המפתחים שלהם. ניתן להשתמש במידע זה כדי לתעדף עדכוני אבטחה ולהבטיח שמערכת התוכנה תישאר מאובטחת.

שלישית, SBOM יכול להקל על תקשורת בין בעלי עניין שונים. לדוגמה, יצרני מכשור רפואי יכולים להשתמש ב-SBOM כדי להעביר את הרכיבים המשמשים בתוכנה שלהם לבתי חולים ולבעלי עניין, שיוכלו לאחר מכן להשתמש במידע כדי להעריך את סיכוני האבטחה הקשורים לתוכנה. בנוסף, חוקרי אבטחה יכולים להשתמש ב-SBOM כדי לדווח על נקודות תורפה לגורמים המתאימים (איור 3), שיוכלו לנקוט בצעדים כדי לטפל בבעיות.

איור 3: זיהוי פגיעות בסטודיו Cybeats

יצירת SBOMs

יצרנו צינור בנייה אוטומטי כדי לכלול יצירת SBOMs ולהעלות אותם לניתוח אוטומטי. המערכת שלנו משתמשת כיום במספר כלים של קוד פתוח וכלי צד שלישי. שרת ה-CI משתמש Lib4SBOM ליצור באופן ידני SBOMs עבור קושחה מבוססת C ו-C++ (איור 4). המערכת משתמשת כלי CycloneDX לבנות אוטומטית SBOMs על בסיס קבצי פרויקט עבור כל תוכנה המשתמשת במנהל חבילות.

איור 4: אוטומציה של בנייה חיונית לשמירה על עדכניות מידע SBOM.

לאחר יצירת ה-SBOMs, הם מועלים ל- פורטל Cybeats SBOM Studio, שמפעיל ניתוח ומזהה נקודות תורפה. רשימת הפגיעות מסופקת בחזרה לצוות הפיתוח לצורך ניתוח נוסף והפחתה פוטנציאלית. לאחר מכן שרת ה-CI אוסף את ממצאי הפגיעות מ-SBOM Studio ומתעד אותם, ולאחר מכן מספק את המשוב ישירות למפתחים שלנו כדי להזהיר אותם במקרה שהם צריכים לעדכן חלק מהתלות שלהם.

לאחר יצירת SBOM ניתן לנטר אותו באופן מתמיד כדי לראות אם מתגלות פגיעויות חדשות. אם יתגלו נקודות תורפה כלשהן, ניתן להעביר אותן למפתחים כדי לטפל בהן לפי הצורך. אפשרויות אחרות הנתמכות על ידי SBOMs כוללות ניטור של סוף החיים וסוף התמיכה עבור רכיבי תוכנה שונים. כל המידע הזה יכול להיות שימושי בעת יצירת הגשת ה-FDA. אוטומציה של תהליך זה הפכה את קבלת מידע שימושי ובזמן מה-SBOM שלנו למהיר ואמין (איור 5).

איור 5: פגיעויות מזוהות ומתוקנות.

סיכום

השימוש ב-SBOMs כחלק מתהליך הבנייה שלנו הביא ערך משמעותי הן פנימי והן עבור לקוחות. המפתחים שלנו מקבלים אינדיקציה היכן ממוקמות חלק מהחולשות שיש לטפל בהן, בעוד שהלקוחות שלנו מקבלים תמונה ברורה של מה התוכנה שלהם מכילה, כולל פרצות שהם יכולים לספק ל-FDA או לרגולטורים אחרים לפי הצורך.

אם תרצה לדעת יותר על האופן שבו StarFish Medical יכולה לעזור בעמידה בתקנות SBOM שלך, בבקשה צור קשר עם קבוצת הפיתוח העסקי שלנו. הם ישמחו לדון כיצד Starfish יכול לעזור לך להצליח ליצור מכשירים רפואיים חזקים ומאובטחים.

ראסל היילי הוא רופא דג כוכבים מהנדס תוכנה בכיר. הוא ותיק תוכנה ו-IT עם ניסיון של למעלה מ-20 שנה בתכנון מערכות IoT שאוספות נתונים באמצעות מכשירי רדיו Wi-Fi, בלוטות' ו-MICS (מושתלים) ומאחסנות רשומות חיוניות בענן ממצופים אוקיאנוגרפיים, מוסדות פיננסיים, רכבות נוסעים. ולאחרונה, מכשור רפואי.

ג'יימס סייז הוא א מהנדס QA ב-StarFish Medical עם רקע בהנדסת מכונות ותוכנה. הוא עבד בעיקר בהנדסת רפואה וחלל בכמה תפקידים שונים. ג'יימס נהנה לעבוד על אוטומציה של מכשירים, כלים ותהליכים.





קישור לכתבת המקור – 2024-04-19 21:27:04

Facebook
Twitter
LinkedIn
Telegram
WhatsApp
Email
פרסומת
תכנון תשתיות רפואיות

עוד מתחומי האתר