.jpg)
In 2023 stond Marco Verleun, onze Tech Lead Open Source, al als spreker op de Kubernetes Community Days in Utrecht. Hier gaf hij een lightning talk over een onderwerp waar hij erg gepassioneerd over is: Software Bill of Materials (SBOM's). Deze maand (januari 2024) bracht Marco deze boeiende sessie ook naar ons kantoor! In zijn talk vertelde hij onder andere meer over wat een SBOM is en hoe het organisaties kan helpen om snel te identificeren of er en zo ja welke kwetsbaarheden er aanwezig kunnen zijn op de servers, images en appliances van organisaties. Zo liet hij zien hoe organisaties dit kunnen blijven bewaken zonder iedere keer alles opnieuw te moeten scannen.
Al onze Meetup events zijn openbaar, maar mocht je er nou niet bij kunnen zijn lees dan snel verder, want Marco deelde zijn inzichten in onderstaande blog.
Waarom SBOM's?
Vrijwel iedereen kent de grote hit van Tom Jones met de naam S.. Bom wel. Dat woord moet blijven plakken, want het staat voor een standaard die enorm kan helpen om kwetsbaarheden te fixen in container images, computersystemen en appliances.
Wie wil er nu een container vol met 'spullen' die niet nodig zijn, maar in potentie wel voor problemen kunnen zorgen? Dat wil natuurlijk niemand hebben draaien in een Kubernetes cluster. Herinner je je de volgende 'kwetsbaarheden' nog?
- ShellShock;
- Log4J / Log4Shell;
- Heartbleed.
Deze veiligheidsrisico's hebben breeduit het nieuws gehaald. En hoe lastig was het om de systemen te vinden die kwetsbaar waren...
SBOM's net zoiets als eten?
Als we het vanuit een andere invalshoek bekijken is eten eigenlijk net zoiets als SBOM’s. Zo moet eten voldoen aan strenge regels. Een belangrijke eis is dat je als consument kunt zien wat de belangrijkste ingrediënten zijn voordat je het consumeert of aanschaft.
SBOM’s zijn vergelijkbaar. Het zijn specifieke gegevens over welke software packages, welke versies en welke licenties er terug te vinden zijn in een appliance, een container image of een host. Door deze van tevoren te bestuderen heb je al een goed beeld van de kwetsbaarheden die meekomen.
SBOM als software CMDB
Als de SBOM’s bewaard worden in een geschikte toepassing is het ook mogelijk om te controleren of er nieuw ontdekte CVE’s een bedreiging vormen en zo ja, waar er passende maatregelen moeten worden genomen, omdat er precies bekend is welke software gebruikt wordt. Dit proces kan eenvoudig geautomatiseerd worden en is goedkoop (in termen van resources) om uit te voeren. Daarmee vervalt de noodzaak om systemen periodiek te scannen op kwetsbaarheden.
Meer weten over dit interessante onderwerp of over de trainingen die Marco verzorgt? Neem gemakkelijk contact met ons op via deze pagina! Wij helpen je graag verder.