As SBOMs Estão Falhando? Ataques na Cadeia de Suprimentos Aumentam Enquanto Equipes de Segurança Batalham com Dados de SBOM

Software Bill of Materials (SBOMs) e Vulnerability Exploitability eXchange (VEX) foram introduzidos para oferecer aos compradores visibilidade clara sobre os componentes de software e sua explorabilidade. Ainda assim, ataques à cadeia de suprimentos continuam a aumentar, com os recentes comprometimentos de Trivy e Axios atingindo dezenas de milhares de organizações.

Datta argumenta que as equipes são sobrecarregadas por SBOMs, VEX, inteligência de vulnerabilidades e inputs legais inconsistentes, acabando por depender de pontuações de severidade brutas. Ela propõe uma camada de decisão orientada por governança que rastreia as mudanças nas SBOMs ao longo do tempo, trata o VEX como contextual, incorpora divulgações de terceiros e produz decisões auditáveis e defensáveis, especialmente à medida que as regulamentações se tornam mais rigorosas e o tempo para exploração diminui para horas.