La OWASP Foundation (Open Web Application Security Project) y IBM ha anunciado hoy la contribución de IBM de dos proyectos de código abierto destinados a aumentar la confianza en las cadenas de suministro de hardware y software abiertas.
Los dos proyectos son SBOM Utility y License Scanner, que se suman a CycloneDX, un proyecto insignia de OWASP y un estándar líder de lista de materiales (BOM). Estos promueven la validación, el análisis de contenido y la precisión de la información de licencia de software incluida en las listas de materiales.
La utilidad SBOM y el escáner de licencias desarrollados por IBM contribuirán con tecnologías de código abierto a OWASP para ayudar a los desarrolladores a mejorar la calidad de sus datos en el front-end y ayudar a validar los SBOM para evaluar el riesgo.
SBOM Utility está diseñado para ser una plataforma API que se utiliza principalmente para validar listas de materiales en formato CycloneDX o SPDX con sus esquemas publicados. También puede ayudar a validar derivados creados por organizaciones que desean que se apliquen requisitos de datos de BOM más estrictos.
License Scanner está diseñado para escanear archivos en busca de licencias y términos legales. Se puede usar para ayudar a identificar licencias de coincidencia de texto y excepciones de licencia de la Lista de licencias SPDX completa y publicada. Listo para usar, coincide con la versión 3.18 de las licencias SPDX (un poco menos de 500) y las excepciones de licencia (más de 40) y viene con una opción para importar versiones futuras de licencias SPDX.
License Scanner se ha desarrollado para integrarse en las cadenas de herramientas DevOps del Servicio de entrega continua de IBM Cloud y también se utiliza como parte del proceso de autorización legal de IBM para el software corporativo y de código abierto antes de la aprobación para uso interno.
“Hay sigue existiendo la necesidad de concienciación, herramientas y orientación para ayudar a crear software con más funciones de seguridad”, afirma Jamie Thomas, director general de estrategia y desarrollo de sistemas de IBM.”IBM tiene un largo historial de contribución a una amplia variedad de comunidades de código abierto como la Fundación OWASP. Creemos que estas contribuciones pueden ayudar a los desarrolladores a evaluar el riesgo y crear aplicaciones más seguras que puedan generar confianza en los consumidores”.
Tanto SBOM Utility como License Scanner están en GitHub.
Crédito de la imagen: Chan2545/depositphotos.com