Cryptographic Bill of Materials (CBOM)
Что такое Cryptographic Bill of Materials (CBOM)?
Cryptographic Bill of Materials (CBOM)Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности.
CBOM распространяет идею SBOM на криптографию. В нём фиксируются алгоритмы (RSA-2048, AES-256-GCM, SHA-256), режимы, параметры, жизненный цикл ключей, сертификаты, библиотеки (OpenSSL, BoringSSL) и протоколы (TLS 1.3, SSH, IKEv2), а также где и как они используются. CBOM помогает выявлять слабую или устаревшую криптографию, планировать переход к пост-квантовым алгоритмам, соблюдать национальные требования к криптографии и демонстрировать должную осмотрительность регуляторам финансовой отрасли и КИИ. Рабочая группа OWASP CBOM и CycloneDX 1.6+ предлагают машиночитаемый формат. CBOM становится критически важным по мере того, как государства требуют оценок пост-квантовой готовности, а криптозависимости остаются частой причиной уязвимостей цепочки поставок ПО.
● Примеры
- 01
CycloneDX CBOM, фиксирующий все зависимости RSA-1024 для плана миграции на PQC.
- 02
CBOM, сформированный по итогам пентеста, чтобы показать устаревшие наборы шифров на платёжной платформе.
● Частые вопросы
Что такое Cryptographic Bill of Materials (CBOM)?
Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Cryptographic Bill of Materials (CBOM)?
Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности.
Как работает Cryptographic Bill of Materials (CBOM)?
CBOM распространяет идею SBOM на криптографию. В нём фиксируются алгоритмы (RSA-2048, AES-256-GCM, SHA-256), режимы, параметры, жизненный цикл ключей, сертификаты, библиотеки (OpenSSL, BoringSSL) и протоколы (TLS 1.3, SSH, IKEv2), а также где и как они используются. CBOM помогает выявлять слабую или устаревшую криптографию, планировать переход к пост-квантовым алгоритмам, соблюдать национальные требования к криптографии и демонстрировать должную осмотрительность регуляторам финансовой отрасли и КИИ. Рабочая группа OWASP CBOM и CycloneDX 1.6+ предлагают машиночитаемый формат. CBOM становится критически важным по мере того, как государства требуют оценок пост-квантовой готовности, а криптозависимости остаются частой причиной уязвимостей цепочки поставок ПО.
Как защититься от Cryptographic Bill of Materials (CBOM)?
Защита от Cryptographic Bill of Materials (CBOM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Cryptographic Bill of Materials (CBOM)?
Распространённые альтернативные названия: CBOM, Криптографический инвентарь.
● Связанные термины
- appsec№ 1068
Software Bill of Materials (SBOM)
Формальный машиночитаемый перечень компонентов, библиотек и зависимостей, образующих программное обеспечение, с указанием версий и их связей.
- cryptography№ 846
Постквантовая криптография
Классические криптографические алгоритмы, спроектированные так, чтобы оставаться стойкими к атакам как классических, так и крупномасштабных квантовых компьютеров.
- cryptography№ 249
Криптография
Наука о защите информации математическими методами, обеспечивающими конфиденциальность, целостность, подлинность и неотрекаемость в присутствии злоумышленника.
- appsec№ 1069
Безопасность цепочки поставок ПО
Дисциплина защиты каждого звена производства ПО — исходного кода, зависимостей, сборки, подписи, дистрибуции и деплоя — от вмешательства, вредоносного кода и потери целостности.
- cryptography№ 172
Набор шифров (cipher suite)
Именованная комбинация криптографических алгоритмов — обмена ключами, аутентификации, шифрования и контроля целостности — согласуемая протоколами вроде TLS для конкретной сессии.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.