Bill of Materials (BoM): O que é e qual a importância?
Uma lista de materiais (BOM) é uma lista abrangente de todos os componentes, peças e matérias-primas necessários para fabricar um produto. É um documento fundamental usado na fabricação, engenharia e gerenciamento da cadeia de suprimentos para garantir que todas as peças necessárias estejam disponíveis e montadas corretamente durante o processo de produção.
Uma lista de materiais típica inclui o nome da peça ou do componente, o número da peça, a quantidade necessária, a unidade de medida e uma descrição da peça. A lista de materiais também pode incluir informações sobre o fabricante, o fornecedor e o custo de cada peça, bem como quaisquer notas ou instruções adicionais para a montagem.
As listas técnicas são essenciais para o planejamento preciso, o cálculo de custos e a programação da produção, bem como para manter os níveis de estoque e o controle de qualidade. Elas são comumente usadas em setores como manufatura, construção, aeroespacial, automotivo e eletrônico.
O Software de BoM (SBoM)
O Software Bill of Materials (SBOM) é uma lista de todos os componentes de código aberto e de terceiros presentes em uma base de código. Uma SBOM também lista as licenças que regem esses componentes, as versões dos componentes usados na base de código e seu status de correção, o que permite que as equipes de segurança identifiquem rapidamente quaisquer riscos de segurança ou de licença associados.
O conceito de uma lista de materiais de software deriva da manufatura, em que uma lista de materiais é um inventário que detalha todos os itens incluídos em um produto. No setor automotivo, por exemplo, os fabricantes mantêm uma lista de materiais detalhada para cada veículo. Essa lista de materiais relaciona as peças fabricadas pelo próprio fabricante do equipamento original e as peças de fornecedores terceirizados. Quando uma peça defeituosa é descoberta, o fabricante de automóveis sabe exatamente quais veículos foram afetados e pode notificar os proprietários dos veículos sobre a necessidade de reparo ou substituição.
Da mesma forma, as organizações inteligentes que criam software mantêm uma lista de materiais de software precisa e atualizada que inclui um inventário de componentes de terceiros e de código aberto para garantir que seu código seja de alta qualidade, compatível e seguro.
Por que as organizações precisam de uma lista de materiais de software (BoM)?
Em 2021, houve várias violações de segurança de alto nível, incluindo Codecov, Kaseya e, mais recentemente, Apache Log4j. Esses tipos de ataques à cadeia de suprimentos levaram o presidente Biden a emitir uma ordem executiva de segurança cibernética (EO) detalhando as diretrizes de como os departamentos, agências e contratados federais que fazem negócios com o governo devem proteger seus softwares. Entre as recomendações estava a exigência de SBOMs, para garantir a segurança e a integridade dos aplicativos de software usados pelo governo federal.
Embora a EO seja direcionada a organizações que fazem negócios com o governo, essas diretrizes, incluindo as SBOMs, provavelmente se tornarão uma linha de base de fato para a forma como todas as organizações criam, testam, protegem e operam seus aplicativos de software.
Benefícios de adotar o SBoM
Adotar o SBOM pode trazer diversos benefícios, tais como:
Melhorar a segurança do produto: O SBOM ajuda a identificar possíveis vulnerabilidades de segurança, permitindo que sejam feitas correções antes que o produto chegue ao mercado.
Facilitar a conformidade regulatória: O SBOM pode ajudar a garantir que o produto atenda aos requisitos de segurança exigidos por leis e regulamentos, além de facilitar a rastreabilidade em caso de problemas.
Reduzir custos: Ao permitir que as empresas identifiquem e corrijam problemas de segurança precocemente, o SBOM pode ajudar a evitar custos associados à recall de produtos, multas e danos à reputação.
- Aumentar a confiança dos clientes: Os clientes esperam que os produtos que compram sejam seguros e confiáveis. O SBOM pode ajudar a demonstrar que a empresa leva a segurança a sério e está comprometida em fornecer produtos seguros e de alta qualidade.
Empresas que adotaram o SBoM
O SBOM (Bill of Materials de Segurança) é uma prática que está se tornando cada vez mais comum entre as empresas que produzem bens e serviços de tecnologia, especialmente as que atuam em setores regulados e de alta segurança, como o setor de energia, saúde, aeroespacial, defesa e automotivo.
Algumas empresas que já adotaram o SBOM em suas práticas incluem:
Microsoft: A empresa está liderando um esforço para promover a adoção do SBOM na indústria de tecnologia, além de implementar o SBOM em seus próprios produtos.
IBM: A IBM está trabalhando para implementar o SBOM em seus produtos e promover sua adoção na indústria em geral.
Apple: A Apple tem divulgado SBOMs para alguns de seus produtos, como o iPhone e o Mac, desde 2018.
General Motors: A GM está implementando o SBOM em seus veículos para aumentar a transparência e a segurança de seus sistemas de tecnologia embarcada.
Philips: A Philips tem sido um defensor do SBOM em produtos médicos para garantir a segurança do paciente e a conformidade regulatória.
Essas são apenas algumas das empresas que já estão adotando o SBOM em suas práticas. Espera-se que, à medida que a conscientização sobre a importância da segurança de software continue a crescer, cada vez mais empresas passem a adotar o SBOM em seus processos de desenvolvimento de produtos.
Saiba mais.
FONTE:
Douglas Bernardini
Cybersecurity Specialist & Cloud Computing Expert with +10 years experience in IT infrastructure.
Specialist delivering assets for development teams in Google Cloud Platform (GCP) and Amazon web services (AWS)
Hands-on cloud security enterprise architect, with experience in SIEM/SOC, IAM, cryptography, pentest, network topologies, operating systems, databases, and applications.
Experience in DevSecOps analysis to discover vulnerabilities in software, identifying CI/CD risks gaps and recommending secure-coding process (S-SDLC).