Código HTML do Conteúdo

Post: EUA e 14 aliados divulgam orientação conjunta sobre lista de materiais de software

<div> <div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-d0eb4104-7f05-4c2b-be13-479de8f2b30e"> <p>Em uma colabora&ccedil;&atilde;o hist&oacute;rica, ag&ecirc;ncias de seguran&ccedil;a cibern&eacute;tica e intelig&ecirc;ncia de 15 pa&iacute;ses se alinharam em uma vis&atilde;o compartilhada para <a href="https://www.infosecurity-magazine.com/opinions/howto-create-maintain-sboms/" target="_blank">Listas de materiais de software</a> (SBOMs), emitindo novas orienta&ccedil;&otilde;es conjuntas para fortalecer a seguran&ccedil;a da cadeia de suprimentos global.</p> <p>O documento, intitulado &ldquo;<a href="https://www.cisa.gov/sites/default/files/2025-09/joint-guidance-a-shared-vision-of-software-bill-of-materials-for-cybersecurity_508c.pdf" target="_blank"><em>Uma vis&atilde;o compartilhada da lista de materiais de software (SBOM) para seguran&ccedil;a cibern&eacute;tica</em></a>&ldquo;, foi publicado em 3 de setembro.</p> <p>Foi assinado por 21 ag&ecirc;ncias governamentais de 15 pa&iacute;ses, incluindo a Ag&ecirc;ncia de Seguran&ccedil;a Cibern&eacute;tica e Infraestrutura dos EUA (CISA) e a NSA.</p> <p>Ele descreve os principais termos e conceitos relacionados aos SBOMs, incluindo uma defini&ccedil;&atilde;o comum do que &eacute; um SBOM, a proposta de valor dos SBOMs e como implement&aacute;-los.</p> </div> <div data-edit-folder-name="text" data-index="2" data-layout-id="2" id="layout-f70bcc4f-2071-4866-8bf0-07653b169d5e"> <p>Ele descreve as fun&ccedil;&otilde;es dos produtores de SBOM, usu&aacute;rios finais (chamados de &ldquo;selecionadores&rdquo; no documento), operadores e organiza&ccedil;&otilde;es nacionais de seguran&ccedil;a cibern&eacute;tica.</p> <p>Al&eacute;m disso, a orienta&ccedil;&atilde;o incentiva a ado&ccedil;&atilde;o generalizada de SBOM em todos os setores e fronteiras, implementa&ccedil;&otilde;es t&eacute;cnicas harmonizadas para reduzir a complexidade e o custo e integra&ccedil;&atilde;o de SBOMs em fluxos de trabalho de seguran&ccedil;a para melhor gerenciamento de riscos.</p> </div> <div data-edit-folder-name="text" data-index="4" data-layout-id="2" id="layout-7e70a4f6-eaa0-4130-88a2-e7882a859f43"> <p>&ldquo;Este marco reflete um crescente consenso internacional sobre a import&acirc;ncia da transpar&ecirc;ncia do software na prote&ccedil;&atilde;o da cadeia de suprimentos digital&rdquo;, comentou um porta-voz da CISA.</p> <p>Luk&aacute;&scaron; Kintr, diretor da Ag&ecirc;ncia Nacional de Seguran&ccedil;a Cibern&eacute;tica e da Informa&ccedil;&atilde;o da Rep&uacute;blica Tcheca (N&Uacute;KIB), um dos signat&aacute;rios, enfatizou a crescente complexidade do software que as organiza&ccedil;&otilde;es devem enfrentar.</p> <p>&ldquo;O software de hoje geralmente consiste em centenas de componentes origin&aacute;rios de v&aacute;rias fontes e bibliotecas. O SBOM traz transpar&ecirc;ncia essencial a esse ambiente complexo e mostra claramente do que o software &eacute; feito. Considero o SBOM um passo fundamental para a cria&ccedil;&atilde;o de software verdadeiramente seguro e resiliente &ndash; j&aacute; desde o seu design&rdquo;, disse ele.</p> <p>Nobutaka Takeo, diretor da Divis&atilde;o de Seguran&ccedil;a Cibern&eacute;tica do Departamento de Pol&iacute;tica de Com&eacute;rcio e Informa&ccedil;&atilde;o do Minist&eacute;rio da Economia, Com&eacute;rcio e Ind&uacute;stria do Jap&atilde;o (METI), declarou: &ldquo;Estamos satisfeitos em ver que a import&acirc;ncia do SBOM est&aacute; sendo reconhecida internacionalmente por meio desta diretriz. No ano passado, o Jap&atilde;o lan&ccedil;ou o SBOM Guidance 2.0 e continuaremos a aumentar a conscientiza&ccedil;&atilde;o sobre o SBOM entre as partes interessadas relevantes, contribuindo ativamente para as discuss&otilde;es internacionais sobre o assunto.&rdquo;</p> <h2><strong>Trabalhando para a harmoniza&ccedil;&atilde;o e legisla&ccedil;&atilde;o da SBOM</strong></h2> <p>Allan Friedman, que liderou os esfor&ccedil;os de SBOM da CISA entre agosto de 2021 e julho de 2025, saudou a publica&ccedil;&atilde;o da orienta&ccedil;&atilde;o conjunta.</p> <p>Em um post no LinkedIn, ele enfatizou que era &ldquo;o maior n&uacute;mero de organiza&ccedil;&otilde;es que j&aacute; aderiram &agrave; CISA em um documento internacional&rdquo;.</p> <p>&ldquo;N&atilde;o h&aacute; nada aqui inovador, mas &eacute; &oacute;timo ter uma contribui&ccedil;&atilde;o t&atilde;o ampla de tantos pa&iacute;ses&rdquo;, acrescentou, antes de sugerir que ainda s&atilde;o necess&aacute;rios mais passos, incluindo a harmoniza&ccedil;&atilde;o das implementa&ccedil;&otilde;es t&eacute;cnicas.</p> <p>&ldquo;Implementa&ccedil;&otilde;es divergentes podem impedir a ado&ccedil;&atilde;o generalizada e a implementa&ccedil;&atilde;o sustent&aacute;vel do SBOM. Uma abordagem alinhada e coordenada para o SBOM melhorar&aacute; a efic&aacute;cia e reduzir&aacute; custos e complexidades&rdquo;, disse ele.</p> </div> <div data-edit-folder-name="text" data-index="6" data-layout-id="2" id="layout-5c82933d-f2cb-4abc-91d7-19eb6c56f5d5"> <p>Falando com <em>Seguran&ccedil;a da informa&ccedil;&atilde;o</em>, Josh Bressers, vice-presidente de seguran&ccedil;a da Anchore e l&iacute;der do grupo de trabalho OpenSSF SBOM Everywhere, descreveu o esfor&ccedil;o como uma iniciativa &ldquo;&oacute;tima&rdquo;.</p> <div> <p>No entanto, ele corroborou a vis&atilde;o de Friedman, afirmando que este acordo de alto n&iacute;vel &eacute; apenas &ldquo;o primeiro passo l&oacute;gico para ver uma ado&ccedil;&atilde;o global da transpar&ecirc;ncia do software por meio de SBOMs&rdquo;.</p> <p>O desejo de Bressers para o pr&oacute;ximo passo &eacute; ver legisla&ccedil;&atilde;o e orienta&ccedil;&atilde;o comuns sobre a seguran&ccedil;a da cadeia de suprimentos de software entre os pa&iacute;ses signat&aacute;rios.</p> <p>&ldquo;A maioria dos produtores opera em um cen&aacute;rio global agora, [regulations] como a da UE <a href="https://www.infosecurity-magazine.com/news/eu-adopts-cyber-resilience-act/" target="_blank">Lei de Resili&ecirc;ncia Cibern&eacute;tica (CRA)</a> v&atilde;o afetar um grande n&uacute;mero de empresas. Sem d&uacute;vida, outros pa&iacute;ses criar&atilde;o orienta&ccedil;&otilde;es semelhantes. Se n&atilde;o tivermos uma vis&atilde;o comum, ser&aacute; muito dif&iacute;cil atender a todos os requisitos&rdquo;, concluiu.</p> </div> <p>Al&eacute;m da CISA, da NSA, do N&Uacute;KIB e do METI, as organiza&ccedil;&otilde;es signat&aacute;rias inclu&iacute;ram:</p> <ul> <li>Centro Australiano de Seguran&ccedil;a Cibern&eacute;tica da Diretoria de Sinais Australiano (ASD&rsquo;s ACSC)</li> <li>O Centro Canadense de Seguran&ccedil;a Cibern&eacute;tica (Cyber Centre)</li> <li>A Ag&ecirc;ncia Francesa de Seguran&ccedil;a Cibern&eacute;tica (ANSSI)</li> <li>Escrit&oacute;rio Federal de Seguran&ccedil;a da Informa&ccedil;&atilde;o da Alemanha (BSI)</li> <li>A Equipe Indiana de Resposta a Emerg&ecirc;ncias de Computadores (CERT-In)</li> <li>Nat da It&aacute;liaAg&ecirc;ncia Nacional de Ciberseguran&ccedil;a (ACN)</li> <li>Escrit&oacute;rio Nacional de Seguran&ccedil;a Cibern&eacute;tica do Jap&atilde;o (NCO)</li> <li>Centro Nacional de Seguran&ccedil;a Cibern&eacute;tica da Holanda (NCSC-NL)</li> <li>Centro Nacional de Seguran&ccedil;a Cibern&eacute;tica da Nova Zel&acirc;ndia (NCSC-NZ)</li> <li>Rede de Computadores Acad&ecirc;micos e de Pesquisa da Pol&ocirc;nia (NASK)</li> <li>A Ag&ecirc;ncia de Seguran&ccedil;a Cibern&eacute;tica de Cingapura (CSA)</li> <li>Autoridade Nacional de Seguran&ccedil;a da Eslov&aacute;quia (NB&Uacute;)</li> <li>Servi&ccedil;o Nacional de Intelig&ecirc;ncia da Coreia do Sul/Centro Nacional de Seguran&ccedil;a Cibern&eacute;tica (NIS/NCSC) e Ag&ecirc;ncia Coreana de Internet e Seguran&ccedil;a (KISA)</li> </ul> <p><a href="https://www.infosecurity-magazine.com/news/cisa-seeks-sbom-requirements-change/" target="_blank"><em>Leia mais: CISA busca mudan&ccedil;a na diretriz de requisitos m&iacute;nimos de SBOM da era Biden</em></a></p> </div></div>