Новая утилита «SBOM Checker Go» — АО Эшелон Технологии

Новая утилита для проверки SBOM: «SBOM Checker Go» — современное решение под задачи сертификации средств защиты информации

Эшелон «Технологии» с радостью представляет утилиту SBOM Checker Go — компактное и надёжное решение для автоматизированной валидации, обновления и анализа файлов SBOM (Software Bill of Materials) в соответствии с требованиями ФСТЭК России.

Почему это важно?

В 2024 году ФСТЭК России утвердила порядок взаимодействия участников сертификации с центром исследований безопасности системного ПО, согласно которому, разработчики средств защиты информации должны представить перечни заимствованных программных компонентов с открытым исходным кодом, оформленные по соответствующим приложениям. Для выполнения данного требования была необходима автоматизация проверки обеспечения достоверности и полноты SBOM-данных и их соответствие нормативным требованиям.

Что умеет SBOM Checker Go

Утилита SBOM Checker Go предназначена для эффективной обработки SBOM-файлов. Основные возможности:

Валидация SBOM в формате CycloneDX по официальным схемам.
Расчёт «тройного» хэша: SHA-256, Стрибог-256 и Стрибог-512.
«Умное» разрешение источников: проверка всех доступных источников перед выбором оптимального.
Категоризация по показателям «поверхности атаки» и «функций безопасности».
Поддержка списка игнорирования (.sbomignore), параллельной обработки, ограничения скорости запросов к внешним API.
Конвертация результатов в форматы CSV и ODT, слияние нескольких SBOM-файлов с дедупликацией.

Утилита SBOM Checker Go обладает рядом преимуществ по сравнению с доступными аналогами:

значительно ускорена обработка за счёт параллельных операций;
улучшена устойчивость к недоступности источников — не останавливается при первом неудачном URL;
уменьшено потребление памяти, улучшена работа с большими файлами SBOM.

Кому будет полезна

Командам разработки и сопровождения средств защиты информации, кто проходит сертификацию или планирует её.
Интеграторам и аудиторам, которым необходимо проверить корректность и полноту SBOM-документации.
Организациям, использующим открытый исходный код и стремящимся соблюдать требования безопасности при работе с компонентами с открытым исходным текстов.

Дальнейшее развитие

В планах проекта: полный набор тестов совместимости, расширенная поддержка шаблонов репозиториев, выпуск пакетов .rpm / .deb.
Проект SBOM Checker Go реализован как полноценное open source решение и размещен в открытом репозитории по адресу https://gitflic.ru/project/etecs/sbom-checker-go под лицензией Apache-2.0. Мы убеждены, что развитие критически важных инструментов информационной безопасности должно происходить открыто и с участием профессионального сообщества.

Мы приглашаем к участию:

Разработчиков Go — для улучшения архитектуры, оптимизации производительности и добавления новых функций.
Специалистов по безопасности — для расширения поддержки криптографических алгоритмов и валидации требований соответствия
DevOps инженеров — для улучшения CI/CD процессов.
Технических писателей — для развития документации и создания руководств пользователя.
QA инженеров — для расширения покрытия тестами и улучшения процессов тестирования.

Как присоединиться:

Мы ценим любой вклад — от небольших исправлений и улучшений документации до масштабных новых функций. В репозитории доступны подробные инструкции для разработчиков, описание архитектуры проекта и дорожная карта развития. Создавайте Issues для обсуждения идей, отправляйте запросы на слияние с улучшениями, участвуйте в технических дискуссиях.

Совместными усилиями мы можем создать эталонный инструмент для работы с SBOM, который будет полезен для соблюдения российских регуляторных требований и станет значимым вкладом в международную экосистему инструментов управления программными зависимостями и обеспечения безопасности цепочек поставок ПО.

Мы уверены, что SBOM Checker Go станет надёжным инструментом в вашей цепочке обеспечения безопасности и сертификации ПО. Приглашаем вас протестировать его и поделиться обратной связью.