Měli bychom přestat mluvit o „CBOM": Proč terminologie v kryptografii selhává

Měli bychom přestat mluvit o „CBOM": Proč terminologie v kryptografii selhává

Kryptografická inventura komponent není jen technickou specifikací výrobce – jedná se o nový koncept, který vychází z pohledu kupujícího a bezpečnostních požadavků. Stejně jako tradiční seznam materiálů, i tato dokumentace se stala klíčovým prvkem řetězce hodnocení software.

Používáme spoustu technických termínů ve vývoji software a hardwaru, která jsou univerzálně chápána v celém průmyslu. Jeden z nich je BOM – bill of materials, tedy seznam materiálů či inventura komponent. Jedná se o základní dokument, kterým výrobce deklaruje, z čeho se jeho produkt skládá. V posledních letech však přišla vlna zajímavých nových požadavků na dokumentaci bezpečnosti, která má svou vlastní logiku – a zde se ztrácí přesnost tradiční terminologie.

Tradiční přístup: výrobce určuje pravidla

Klasický seznam materiálů vychází z pozice výrobce. Ten přesně specifikuje, jaké komponenty, součástky a software jsou obsaženy v produktu, které verze používá, od kterých dodavatelů je nakupuje. To je jeho deklarace – jeho pohled na to, co vytvořil. Výrobce je autoritou v tom, jaké jsou součásti jeho produktu, protože je sám zná a sám je vybral. Tato pravidla fungují desítky let a etablovaly se v mnoha průmyslových oborech.

Bezpečnostní inventura: pohled kupujícího mění hru

Kryptografická dokumentace bezpečnosti je však něco úplně jiného. Zde nejde primárně o to, co řekne výrobce, ale co potřebuje vědět kupující, provozovatel nebo bezpečnostní tým. Jde o to, jaké kryptografické algoritmy jsou v produktu použity, jaké jsou jejich vlastnosti, kdy budou zastaralé, jak je třeba je monitorovat. Tento přístup pochází ze strany těch, kteří software nasazují a jsou zodpovědni za jeho bezpečnost. Jedná se tedy o pohled tržiště, regulace a skutečných rizik – nikoli o čistě technickou specifikaci výrobce.

Proč je nová terminologie důležitá

Když tento dokument nazýváme „CBOM" (Cryptographic Bill of Materials), vytváříme dojem, že se jedná jen o rozšíření tradičního BOM. Realita je však odlišná. Jde o zcela jinou věc s odlišným účelem, původem a způsobem tvorby. Kupující si nekupují kryptografickou inventuru od výrobce – spíše si ji vytváří sami na základě svých bezpečnostních potřeb a regulačních požadavků. Je to jako srovnávat plán stavby domu (co stavbyvedoucí postavil) s inženýrským auditem bezpečnosti (co si objednal majitel pro svou ochranu).

Tato zdánlivě drobná terminologická zmatlení mohou způsobit vážné problémy. Může to vést k tomu, že si myslíme, že výrobce má povinnost poskytnout to, co právě potřebujeme, nebo že máme právo očekávat, že se bude chovat podle tradičních pravidel pro seznam materiálů. To pak vede ke zbytečným konfliktům a chybným očekáváním v komunikaci mezi vyrábějícími a kupujícími stranami. Přesnější terminologie by všem zúčastněným vyjasnila, s jakým typem dokumentace pracujeme a jaké má základní charakteristiky.

Bezpečnost software není jen otázkou technických detailů – je to také otázka jasné komunikace a správného porozumění. A to vše začíná tím, že věcem říkáme správnými jmény.

Zdroj: Forbes Innovation

Rubrika: Business