Offentlig upphandling är avgörande för att säkerställa att samhällsviktiga tjänster och system är både säkra och pålitliga. Med ökande krav på transparens och säkerhet har SBOM (Software Bill of Materials) blivit ett oumbärligt verktyg för att garantera att leverantörer möter höga säkerhetsstandarder.
När offentliga organisationer köper in mjukvara eller digitala tjänster, kan de nu kräva att leverantörerna tillhandahåller en SBOM. Detta dokument fungerar som en detaljerad ingredienslista för mjukvaran, som visar alla komponenter som används, deras ursprung och eventuella kända sårbarheter. Genom att ställa detta krav säkerställs att leverantörerna har full kontroll över sin mjukvara och att inga komponenter utgör en säkerhetsrisk.
Fördelarna med SBOM i offentlig upphandling
-
Ökad transparens
Genom att kräva SBOM från leverantörer får offentliga organisationer en klar bild av vilka komponenter som används i den mjukvara de köper in. Detta gör det lättare att förstå och utvärdera mjukvarans säkerhet och kvalitet innan den implementeras i kritiska system.
-
Förbättrad säkerhet
SBOM gör det möjligt att snabbt identifiera och åtgärda sårbarheter i mjukvaran. Om en säkerhetsbrist upptäcks i en viss komponent, kan SBOM:en användas för att snabbt lokalisera vilka system som påverkas och vidta nödvändiga åtgärder för att skydda dem.
-
Efterlevnad av regelverk
Lagar och regler som NIS2 och CRA ställer höga krav på transparens och säkerhet i offentliga upphandlingar. Genom att integrera SBOM i upphandlingsprocessen kan organisationer säkerställa att de följer dessa krav och undvika potentiella juridiska problem.
Så använder du SBOM i offentlig upphandling
För att effektivt utnyttja SBOM i offentlig upphandling kan du följa dessa steg:
-
Kräva SBOM från leverantörer
Inkludera ett krav i upphandlingsdokumentationen att leverantörerna ska tillhandahålla en detaljerad SBOM. Detta säkerställer att alla anbudsgivare är medvetna om vikten av transparens och säkerhet från början.
-
Granska SBOM:ar regelbundet
Det är inte tillräckligt att bara begära en SBOM. Regelbunden granskning av SBOM:arna hjälper till att säkerställa att inga nya sårbarheter har dykt upp i leveranskedjan. Automatiserade verktyg kan underlätta denna process genom att kontinuerligt skanna SBOM:arna för nya säkerhetsrisker.
-
Säkerställa efterlevnad
Använd SBOM:en för att verifiera att leverantörerna uppfyller alla relevanta lagar och regler. Detta kan inkludera kontroll av licenser, säkerhetsstandarder och andra specifika krav som ställs på den offentliga sektorn.
Utmaningar och lösningar
Införandet av SBOM i offentlig upphandling kan möta vissa utmaningar, såsom leverantörers anpassning till de nya kraven och hantering av stora mängder data. För att övervinna dessa hinder kan organisationer:
-
Ge tydliga riktlinjer och stöd
Hjälp leverantörerna att förstå hur de kan skapa och leverera SBOM:ar genom att erbjuda tydliga instruktioner och rekommendera specifika verktyg som CycloneDX eller SPDX.
-
Använda automatiserade verktyg
Verktyg som SBOM Observer kan effektivisera hanteringen och analysen av SBOM:ar, vilket gör det enklare att hålla informationen aktuell och korrekt.
Framtiden för SBOM i offentlig upphandling
SBOM kommer sannolikt att bli en standarddel av offentliga upphandlingar framöver. Med den ökande digitaliseringen av samhällsviktiga tjänster blir det allt viktigare att ha en transparent och säker mjukvarulandskap.
Genom att fortsätta integrera SBOM i upphandlingsprocessen kan offentliga organisationer inte bara förbättra säkerheten utan också främja en kultur av ansvar och transparens inom hela leveranskedjan.