Utöver SBOM, VEX och VDR finns det andra typer av attesteringar som kan ge ytterligare insikt och förtroende kring en mjukvaras ursprung och säkerhet.
Ett exempel är SLSA (Supply chain Levels for Software Artifacts)1, som bland annat fokuserar på “Package provenance” – alltså var och hur ett paket eller beroende har byggts, och av vem.
Detta gör det möjligt att spåra och verifiera en mjukvarukomponents ursprung genom leveranskedjan.
Hur kan de användas tillsammans?
Genom att kombinera information från SBOM (vilka komponenter som ingår), VEX (om en sårbarhet faktiskt kan utnyttjas), VDR (hur sårbarheter rapporteras och hanteras) och SLSA (spårbarhet i själva byggprocessen) får man en heltäckande bild av både innehåll och härkomst.
Varje attestering bidrar med sin unika del i pusslet, vilket gör att man kan:
-
Identifiera komponenter via SBOM och snabbt se om de är sårbara (VEX) eller hur sårbarheter rapporteras (VDR).
-
Spåra ursprung med SLSA, för att veta exakt var och hur koden byggts.
SBOM Observer är ett exempel på ett verktyg som kan hantera flera typer av attesteringar. Genom att samla SBOM:ar, VEX, VDR och SLSA-information på ett och samma ställe blir det lättare att analysera och jämföra data.
Det ökar möjligheten att snabbt upptäcka avvikelser, verifiera härkomst och vidta nödvändiga åtgärder för att skydda mjukvaran från potentiella hot.