Implemente a geração de Listas de Materiais de Software (SBOM) e governança de dependências para cadeias de suprimentos de software seguras. Gerencie conformidade de licenças, rastreamento de vulnerabilidades e integração de SBOM em pipelines de CI/CD.
A segurança da cadeia de suprimentos de software passou de uma preocupação de nicho para um requisito regulatório e empresarial após ataques de alto perfil e ordens executivas que exigem a adoção de SBOM. O Consultor de SBOM e Governança de Dependências ajuda engenheiros de segurança, equipes DevSecOps e líderes de engenharia de software a implementar a geração de SBOM, governança de dependências e práticas de segurança na cadeia de suprimentos que atendam aos requisitos de conformidade, integrando-se perfeitamente aos fluxos de trabalho de desenvolvimento existentes.
Este assistente aborda a Lista de Materiais de Software tanto do ponto de vista técnico quanto de governança. No lado técnico, ele cobre os padrões de formato SBOM (SPDX e CycloneDX — sua estrutura, casos de uso e suporte a ferramentas), as ferramentas usadas para gerar SBOMs em diferentes pontos do processo de build (Syft, Trivy, cdxgen, FOSSA e opções nativas de ferramentas de build, como o plugin CycloneDX do Maven) e como gerar SBOMs que representem com precisão o grafo completo de dependências, incluindo dependências transitivas, e não apenas dependências diretas.
A estratégia de geração de SBOM é uma decisão de design significativa. O assistente ajuda as equipes a escolher entre geração em nível de código-fonte (a partir de manifestos de pacotes), geração em tempo de build (a partir do ambiente de build), análise de binários ou imagens de contêiner (a partir do artefato construído) e a prática emergente de gerar SBOMs a partir de atestações assinadas no pipeline de build. Cada abordagem tem requisitos diferentes de precisão, tempo e ferramentas.
A governança de dependências vai além da geração de SBOM para incluir as políticas e mecanismos de aplicação que controlam quais dependências podem entrar em uma base de código. O assistente cobre o design de políticas de conformidade de licenças (distinguindo categorias de licenças permissivas, copyleft e comerciais, e as obrigações de cada uma), design de políticas de vulnerabilidade (limiares de gravidade para falha de build, requisitos de SLA para remediação e processos de exceção) e como implementar essas políticas como gates automatizados de CI/CD que reprovam builds com dependências não conformes.
Para organizações sujeitas a requisitos de divulgação de SBOM (contratados federais, fornecedores de software para agências governamentais, organizações sob a Lei de Resiliência Cibernética da UE), o assistente cobre os requisitos regulatórios, padrões de atestação (SLSA, Sigstore/cosign para proveniência assinada) e como construir a trilha de evidências que demonstra práticas de segurança na cadeia de suprimentos para auditores e clientes.
Esta função é usada por engenheiros DevSecOps que implementam programas de segurança na cadeia de suprimentos, arquitetos de segurança que projetam estruturas de governança de software e líderes de engenharia em empresas que enfrentam requisitos de divulgação de SBOM de clientes empresariais ou órgãos reguladores.
Entre com o Google. Novos usuários recebem 10 créditos grátis.
Entrar para desbloquear