أصدرت وكالات الأمن السيبراني والاستخبارات من 15 دولة توجيهات مشتركة جديدة حول قوائم مكونات البرمجيات SBOM، في خطوة وصفها الخبراء بالتحول الكبير نحو تعزيز أمن سلاسل التوريد البرمجية عالمياً.
الوثيقة التي نشرت في الثالث من سبتمبر الجاري بعنوان A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity، تم توقيعها من قِبل 21 جهة حكومية، من بينها وكالة CISA ووكالة الأمن القومي NSA في الولايات المتحدة.
تتناول الوثيقة المصطلحات الأساسية المرتبطة بـ SBOM، وتحدد تعريف موحد لها، إلى جانب إبراز الفوائد المتوقعة من استخدامها، وآليات التطبيق المناسبة. وتشير إلى دور كل من منتجي SBOM، ومستخدميها النهائيين، ومشغلي الأنظمة، والمنظمات الأمريكية للأمن السيبراني.
كما تحث الوثيقة على تبني SBOM على نطاق واسع في جميع القطاعات والدول، مع التركيز على تبسيط وتناغم آليات التطبيق الفني لتقليل التكلفة والتعقيد، ودمج SBOM ضمن مسارات العمل الأمني لتحسين إدارة المخاطر.
وصرح متحدث باسم CISA أن هذا التعاون يعكس “توافقاً دولياً متزايداً حول أهمية الشفافية البرمجية في حماية سلسلة التوريد الرقمية”.
من جانبه، أوضح لوكاش كينتر، مدير الوكالة الوطنية الأمريكية للأمن السيبراني والمعلوماتي في التشيك، أن “البرمجيات الحديثة تتكون من مئات المكوّنات القادمة من مكتبات ومصادر مختلفة، وSBOM تتيح رؤية واضحة لما تحتويه هذه البرمجيات”. وأضاف أن “SBOM تُعد خطوة أساسية نحو تطوير برمجيات آمنة ومرنة منذ مرحلة التصميم”.
وفي السياق ذاته، قال نوبوتاكا تاكيو، مدير إدارة الأمن السيبراني في وزارة الاقتصاد والتجارة والصناعة اليابانية، إن “الاعتراف الدولي بأهمية SBOM من خلال هذه الوثيقة يعزز الجهود المبذولة في اليابان، خاصة بعد إصدارنا لدليل SBOM 2.0 العام الماضي”.
SBOM كخطوة أولى نحو تقنين أوسع وتوافق دولي
أشاد ألان فريدمان، الذي قاد جهود CISA في ملف SBOM حتى يوليو الماضي، بهذه الوثيقة واصفاً إياها بأنها “أكبر تعاون دولي من نوعه بقيادة CISA”. وأكد أنه “رغم عدم احتواء الوثيقة على مفاهيم جديدة جذرياً، فإن وجود هذا العدد من الدول والجهات ضمن إطار واحد يمثل خطوة مهمة”.
وأشار إلى أن الخطوة التالية يجب أن تركز على تنسيق آليات التنفيذ الفني، لأن “الاختلافات بين الأساليب قد تعيق التبني الواسع لـ SBOM وتؤثر على استدامته، بينما يتيح التناغم تحسين الكفاءة وتقليل التكاليف”.
وفي حديثه مع Infosecurity، وصف جوش بريسيرز، نائب رئيس الأمن في شركة Anchore ورئيس مجموعة عمل OpenSSF SBOM Everywhere، المبادرة بأنها “خطوة ممتازة”، لكنه أكد أن هذا الاتفاق الدولي لا يزال يمثل “بداية منطقية فقط نحو تحقيق الشفافية البرمجية على مستوى العالم”.
وشدد بريسيرز على أن المرحلة المقبلة يجب أن تشهد توافقاً تشريعياً بين الدول الموقّعة، قائلاً: “العديد من المنتجين اليوم يعملون في أسواق عالمية، وتشريعات مثل قانون المرونة السيبرانية في الاتحاد الأوروبي CRA ستؤثر على عدد كبير من الشركات. وإذا لم تكن هناك رؤية موحدة، فسيتعذر تلبية كل المتطلبات”.
