SBOM przechodzi od statusu „dobrej praktyki” do obowiązku operacyjnego

Nowy raport Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) pt. „SBOM Adoption State of Play – 2026” potwierdza, że SBOM staje się podstawowym wymogiem w zakresie przejrzystości łańcucha dostaw oprogramowania, zarządzania lukami w zabezpieczeniach, zarządzania ryzykiem związanym z podmiotami zewnętrznymi oraz zgodności z przepisami.

Głównym czynnikiem napędzającym te zmiany jest ustawa o cyberodporności (Cyber Resilience Act), która w pełni wejdzie w życie w grudniu 2027 r. ENISA zwraca uwagę, że ustawa ta nakłada na produkty cyfrowe wprowadzane na rynek UE prawny obowiązek zapewnienia bezpieczeństwa już na etapie projektowania (security by design) oraz bezpieczeństwa domyślnego (security by default), a także wprowadza wymóg, aby producenci tworzyli, utrzymywali i, w razie potrzeby, udostępniali wykazy SBOM organom nadzoru rynku.

Foto: freepik

SBOM nie polega już wyłącznie na tym, by zespoły programistów wiedziały, z jakich bibliotek korzystają.

Chodzi o:

➡️ Potwierdzenie składu produktu.

➡️ Potwierdzenie przejrzystości zależności.

➡️ Potwierdzenie postępowania w przypadku luk w zabezpieczeniach.

➡️ Potwierdzenie przejrzystości dostawców.

➡️ Potwierdzenie na potrzeby zaopatrzenia, zgodności z przepisami i organów regulacyjnych.

Zgodnie z rozporządzeniem CRA lista SBOM powinna być czytelna dla maszyn, aktualizowana przez cały cykl życia produktu, dołączana do dokumentacji technicznej oraz wykorzystywana w procesach zarządzania lukami w zabezpieczeniach.

W ankiecie ENISA otrzymano 334 odpowiedzi, z czego około 65% pochodziło z UE, a ponad 80% dotyczyło podmiotów bezpośrednio objętych rozporządzeniem CRA. 78% respondentów rozpoczęło już proces wdrażania SBOM, ale tylko 9% zgłosiło dojrzałe, zautomatyzowane wdrożenie.

W raporcie wskazano kilka wyzwań:

➡️ kompletność wykazu komponentów (SBOM),

➡️ jakość danych,

➡️ dostępność wykazów komponentów u dostawców,

➡️ identyfikacja luk w zabezpieczeniach,

➡️ brak wewnętrznych kompetencji,

➡️ oraz integracja z procesami zarządzania ryzykiem i zgodnością.

Jedno z ustaleń ma szczególne znaczenie dla nabywców: tylko 10% respondentów stwierdziło, że w umowach z dostawcami zawarto już obowiązkowe wymagania dotyczące wykazu SBOM, podczas gdy wiele organizacji wciąż planuje wprowadzenie takich wymagań lub stosuje je jedynie doraźnie.

W tym obszarze działy zaopatrzenia i zarządzania ryzykiem dostawców (TPRM) powinny wykazać się znacznie większą aktywnością.

Organizacje kupujące oprogramowanie nie powinny biernie czekać, aż dostawcy osiągną odpowiedni poziom dojrzałości. Powinny zacząć wymagać wykazów SBOM w ramach due diligence, wymagań umownych oraz bieżącego monitorowania dostawców.

➡️ Jeśli tworzysz oprogramowanie, powinieneś generować i aktualizować wykazy SBOM.

➡️ Jeśli kupujesz oprogramowanie, powinieneś wymagać od dostawców wykazów SBOM.

➡️ Ta logika nie ogranicza się do tradycyjnego oprogramowania. W dziedzinie sztucznej inteligencji coraz częściej mówi się o AIBOM, obejmującym szerszy i bardziej złożony ekosystem: modele, zbiory danych, infrastrukturę, zależności, komponenty, dostawców, właściwości bezpieczeństwa oraz informacje dotyczące zarządzania.

Link

Autor: Sebastian Burgemejster