OWASP Foundation (Proyek Keamanan Aplikasi Web Terbuka) dan IBM hari ini mengumumkan kontribusi IBM atas dua proyek sumber terbuka yang bertujuan untuk meningkatkan kepercayaan di seluruh rantai pasokan perangkat keras dan perangkat lunak terbuka.
Kedua proyek tersebut adalah Utilitas SBOM dan Pemindai Lisensi, yang ditambahkan ke CycloneDX, proyek unggulan OWASP dan standar Bill of Material (BOM) terkemuka. Ini mempromosikan validasi, analisis konten, dan keakuratan informasi lisensi perangkat lunak yang termasuk dalam BOM.
Pemindai Lisensi dan Utilitas SBOM yang dikembangkan oleh IBM dan akan menyumbangkan teknologi sumber terbuka ke OWASP untuk membantu pengembang meningkatkan kualitas data mereka di ujung depan dan membantu memvalidasi SBOM untuk menilai risiko.
Utilitas SBOM dirancang untuk menjadi platform API yang digunakan terutama untuk memvalidasi BOM format CycloneDX atau SPDX terhadap skema yang dipublikasikan. Itu juga dapat membantu memvalidasi turunan yang dibuat oleh organisasi yang menginginkan persyaratan data BOM yang lebih ketat untuk ditegakkan.
Pemindai Lisensi dirancang untuk memindai file untuk lisensi dan ketentuan hukum. Ini dapat digunakan untuk membantu mengidentifikasi lisensi pencocokan teks dan pengecualian lisensi dari Daftar Lisensi SPDX yang diterbitkan secara lengkap. Out-of-the-box itu cocok dengan rilis 3.18 dari lisensi SPDX (sedikit kurang dari 500) dan pengecualian lisensi (40+) dan dilengkapi dengan opsi untuk mengimpor versi lisensi SPDX yang akan datang.
Pemindai Lisensi telah dikembangkan untuk diintegrasikan ke dalam rantai alat DevOps Layanan Pengiriman Berkesinambungan IBM Cloud dan juga digunakan sebagai bagian dari proses izin hukum IBM untuk perangkat lunak sumber terbuka dan korporat sebelum persetujuan untuk penggunaan internal.
“Masih ada kebutuhan akan kesadaran, perkakas, dan panduan untuk membantu membuat perangkat lunak dengan lebih banyak fitur keamanan,” kata Jamie Thomas, manajer umum, strategi sistem, dan pengembangan di IBM. “IBM memiliki sejarah panjang dalam berkontribusi pada berbagai komunitas open source seperti OWASP Foundation. Kami yakin kontribusi ini dapat membantu pengembang menilai risiko dan membuat aplikasi yang lebih aman yang dapat membangun kepercayaan konsumen.”
Utilitas SBOM dan Pemindai Lisensi ada di GitHub.
Kredit gambar: Chan2545/depositphotos.com
