OASIS Lanza Iniciativa Global Para Estandarizar Modelos de Información de la Cadena de Suministro

Publicado el 11 agosto 2024 por Lauratuero @incubaweb

Boston, MA – 20 de junio de 2024 – Con el aumento de las amenazas cibernéticas que explotan las vulnerabilidades en la cadena de suministro de software, surge una necesidad urgente de comprender mejor y tomar medidas proactivas para identificar y prevenir riesgos futuros. Los miembros de OASIS Open, la organización mundial de software de código abierto y estándares, han formado el Comité Técnico de Modelado de Información de la Cadena de Suministro Abierta (OSIM TC) para estandarizar y promover modelos de información cruciales para la seguridad de la cadena de suministro.

El objetivo de OSIM es construir un marco unificador que complemente los modelos de datos SBOM existentes, como CSAF, CycloneDX, OpenVEX y SPDX. OSIM no pretende reemplazar ni respaldar ninguno de estos modelos. En cambio, como modelo de información, OSIM busca aportar claridad a los socios de la cadena de suministro de software, mitigar vulnerabilidades y disrupciones, reducir riesgos de seguridad y facilitar a las empresas la planificación de actualizaciones y contingencias.

“CISA está entusiasmada de formar parte de este esfuerzo técnico para brindar una mayor visibilidad a la cadena de suministro de software”, dijo Allan Friedman, asesor técnico senior en CISA. “Tenemos muchos de los bloques de construcción básicos para la transparencia y seguridad del software, incluidos SBOM, VEX y CSAF. Este trabajo de OASIS facilitará la automatización para una implementación y herramientas más fáciles y económicas, y ayudará a proporcionar un marco unificador de la cadena de suministro y aumentar el nivel de colaboración entre industrias”.

“OSIM representa un esfuerzo importante para abordar la necesidad de una mayor estructura y comprensión de las cadenas de suministro de software”, dijo Isaac Hepworth, de Google y copresidente de OSIM. “Al establecer modelos de información estandarizados podemos mejorar la transparencia, la interoperabilidad y la resiliencia en las operaciones de extremo a extremo, ayudando en última instancia a la gestión del riesgo cibernético y protegiendo infraestructuras críticas”.

Reconociendo el papel crucial de los Software Bill of Materials (SBOM) en la consolidación de la seguridad de la cadena de suministro de software, el OSIM TC apunta a crear, por ejemplo, un modelo de información SBOM estándar que aumente la comprensión y la interoperabilidad entre diversos formatos de datos SBOM como SPDX y CycloneDX. Modelos de datos competidores, como SPDX, CycloneDX, CSAF y OpenVEX, evidencian la necesidad de crear modelos de información que aporten coherencia a través de diversas especificaciones.

“El enfoque de OSIM no solo impulsa una taxonomía universal, sino que también aporta claridad y facilidad en la implementación de estándares y marcos para apoyar múltiples necesidades de seguridad en la cadena de suministro de software de la industria. OSIM facilita la identificación de similitudes y diferencias entre especificaciones, mejorando la interoperabilidad y simplificando los procesos. El panorama actual de ciberseguridad ya no puede ser defendido de manera aislada”, dijo Jay White, de Microsoft y copresidente de OSIM.

El OSIM TC da la bienvenida a una amplia gama de contribuyentes, incluidos proveedores de software y hardware, mantenedores de código abierto, consultores tecnológicos, actores empresariales, organizaciones gubernamentales y organismos reguladores. La participación está abierta a todos a través de la membresía en OASIS, y se anima a las partes interesadas a unirse y contribuir a dar forma al futuro del modelado de información de la cadena de suministro.

Checkmarx: "Checkmarx se enorgullece de trabajar con OASIS y ser parte del Comité Técnico de OSIM. Una gran parte de la misión de Checkmarx de asegurar las aplicaciones que impulsan nuestro mundo implica compartir nuestro tiempo, experiencia e inteligencia sobre amenazas para ayudar a hacer el ecosistema de la cadena de suministro de software más seguro. Como uno de los mayores desafíos sigue siendo la educación y cerrar la brecha de conocimiento, creemos que la estandarización es un paso crucial y estamos comprometidos a ayudar en el establecimiento de las bases”, afirmó Erez Yalon, vicepresidente de Investigación de Seguridad de Checkmarx.

Root: "El OSIM de OASIS es un proyecto vital para mejorar la seguridad y la confianza en la cadena de suministro de software. Como parte del Comité Técnico de OSIM, Root está comprometido a avanzar en la seguridad y transparencia de la cadena de suministro, alineándose perfectamente con los objetivos de esta iniciativa. Al colaborar en esquemas de datos, modelado de datos y estándares de seguridad, buscamos mejorar la gestión de vulnerabilidades y la seguridad del software, asegurando que las amenazas se identifiquen y mitiguen de manera oportuna. Esto mejora la integridad del software, beneficiando a nuestros clientes y fortaleciendo la confianza en el ecosistema digital en general”, dijo Ian Riopel, CEO de Root.io.

SAP SE: “Tener un modelo de información unificado para la representación de objetos en el dominio de la cadena de suministro permitiría modelos de integración eficientes e interoperabilidad. Especialmente con la ola de inteligencia artificial generativa, tales modelos alineados pueden traer beneficios en eficiencia de desarrollo, mantenimiento reducido y operaciones para próximas innovaciones en el dominio”, señaló Gururaj Raman, experto en desarrollo principal de SAP SE.

Para obtener información adicional sobre el proyecto OSIM, los interesados pueden consultar el Proyecto Charter de OSIM.

Descargo de responsabilidad: CISA no respalda ninguna entidad comercial, producto, empresa o servicio, incluidos los que se enlazan o mencionan en este comunicado de prensa. Cualquier referencia a entidades comerciales específicas, productos, procesos o servicios, por marca de servicio, marca registrada, fabricante u otros, no constituye ni implica respaldo, recomendación o favoritismo por parte de CISA.

vía: Oasis Open News