Cryptographic Bill of Materials (CBOM)
Что такое Cryptographic Bill of Materials (CBOM)?
Cryptographic Bill of Materials (CBOM)Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности.
CBOM распространяет идею SBOM на криптографию. В нём фиксируются алгоритмы (RSA-2048, AES-256-GCM, SHA-256), режимы, параметры, жизненный цикл ключей, сертификаты, библиотеки (OpenSSL, BoringSSL) и протоколы (TLS 1.3, SSH, IKEv2), а также где и как они используются. CBOM помогает выявлять слабую или устаревшую криптографию, планировать переход к пост-квантовым алгоритмам, соблюдать национальные требования к криптографии и демонстрировать должную осмотрительность регуляторам финансовой отрасли и КИИ. Рабочая группа OWASP CBOM и CycloneDX 1.6+ предлагают машиночитаемый формат. CBOM становится критически важным по мере того, как государства требуют оценок пост-квантовой готовности, а криптозависимости остаются частой причиной уязвимостей цепочки поставок ПО.
● Примеры
- 01
CycloneDX CBOM, фиксирующий все зависимости RSA-1024 для плана миграции на PQC.
- 02
CBOM, сформированный по итогам пентеста, чтобы показать устаревшие наборы шифров на платёжной платформе.
● Частые вопросы
Что такое Cryptographic Bill of Materials (CBOM)?
Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности. Относится к категории Безопасность приложений в кибербезопасности.
Что означает Cryptographic Bill of Materials (CBOM)?
Перечень всех криптографических активов, используемых ПО или системами — алгоритмов, длин ключей, сертификатов, библиотек и протоколов — для поддержки криптогибкости и пост-квантовой готовности.
Как защититься от Cryptographic Bill of Materials (CBOM)?
Защита от Cryptographic Bill of Materials (CBOM) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Cryptographic Bill of Materials (CBOM)?
Распространённые альтернативные названия: CBOM, Криптографический инвентарь.