A OWASP Foundation (Open Web Application Security Project) e IBM anunciou hoje a contribuição da IBM para dois projetos de código aberto destinados a aumentar a confiança nas cadeias de fornecimento de hardware e software abertas.
Os dois projetos são SBOM Utility e License Scanner, que adicionam ao CycloneDX, um projeto OWASP carro-chefe e um padrão líder de lista de materiais (BOM). Eles promovem a validação, análise de conteúdo e precisão das informações de licença de software incluídas nos BOMs.
O SBOM Utility and License Scanner desenvolvido pela IBM e contribuirá com tecnologias de software livre para o OWASP para ajudar os desenvolvedores a aprimorar a qualidade dos dados no front-end e ajudar a validar SBOMs para avaliar o risco.
O utilitário SBOM foi projetado para ser uma plataforma de API usada principalmente para validar BOMs no formato CycloneDX ou SPDX em relação aos seus esquemas publicados. Ele também pode ajudar a validar derivados criados por organizações que desejam que requisitos de dados BOM mais rígidos sejam aplicados.
O License Scanner foi projetado para verificar arquivos em busca de licenças e termos legais. Ele pode ser usado para ajudar a identificar licenças de correspondência de texto e exceções de licença da lista de licenças SPDX completa e publicada. Pronto para uso, ele corresponde à versão 3.18 das licenças SPDX (um pouco menos de 500) e exceções de licença (40+) e vem com uma opção para importar versões futuras de licenças SPDX.
License Scanner foi desenvolvido para integração nas cadeias de ferramentas DevOps do IBM Cloud’s Continuous Delivery Service e também é usado como parte do processo de liberação legal da IBM para software corporativo e de software livre antes da aprovação para uso interno.
“Existe ainda há necessidade de conscientização, ferramentas e orientação para ajudar a criar software com mais recursos de segurança”, diz Jamie Thomas, gerente geral de estratégia e desenvolvimento de sistemas da IBM.”A IBM tem um longo histórico de contribuição para uma ampla variedade de comunidades de software livre, como a OWASP Foundation. Acreditamos que essas contribuições podem ajudar os desenvolvedores a avaliar riscos e criar aplicativos mais seguros que podem gerar a confiança dos consumidores.”
Ambos Utilitário SBOM e License Scanner estão no GitHub.
Crédito da imagem: Chan2545/depositphotos.com