В последние годы вопросы безопасности цепочки поставок программного обеспечения и аппаратных компонентов приобрели критическое значение для государственных и корпоративных структур по всему миру. Особенно это касается Министерства обороны США, где защита национальной инфраструктуры и стратегически важных систем играет ключевую роль в обеспечении безопасности страны. Одним из инструментов, который активно внедряется и становится обязательным, является использование спецификаций программного обеспечения, известных как Software Bill of Materials (SBOM), а также их аналоги для микропрограммного обеспечения (FBOM) и аппаратного обеспечения (HBOM). Термин SBOM обозначает детализированный список всех компонентов программного обеспечения, включая версии, лицензии и известные уязвимости. Его задача - дать прозрачность и возможность контроля за каждым элементом программного комплекса, который используется в продуктах и системах.
Наличие такой спецификации помогает выявлять и оперативно устранять угрозы, что особенно важно в условиях стремительно растущих рисков кибератак на национальные и корпоративные инфраструктуры. Министерство обороны США (DoD) является одним из основных двигателей развития и внедрения данных стандартов. В июле 2025 года министр обороны выпустил директиву, подчеркивающую необходимость исключения из цепочек поставок любых продуктов, которые могут быть подвержены враждебному иностранному влиянию или содержать вредоносные компоненты, способные нарушить выполнение миссий или повредить безопасности. Среди требований отмечена обязательная реализация и использование SBOM, FBOM и HBOM как средства снижения рисков. Особое внимание уделяется комплексному пониманию и управлению рисками, связанными не только с программным обеспечением, но и с микропрограммным обеспечением, а также аппаратной частью, что отражено в обновленных версиях национальных стандартов информационной безопасности, таких как NIST 800-53 Rev 5.
Эти стандарты стали эталоном при формировании новых правил и требований для поставщиков оборонных и критически важных отраслей. Помимо ведомственных инициатив, влияние оказывают и федеральные агентства, такие как CISA (Cybersecurity and Infrastructure Security Agency), которая выпустила в 2025 году минимальные требования к программным спецификациям. Эти нормативы подробно описывают состав, формат и способы использования SBOM, делая упор на практическую ценность для управления уязвимостями и снижением угроз. Ключевыми аспектами выступают формат спецификаций, актуализация данных и возможность автоматизированного анализа для своевременного обнаружения потенциальных проблем. Важным элементом поддержки и внедрения подобных мер служат инструменты для оценки безопасности поставщиков программного обеспечения.
Например, интерактивное руководство по безопасному приобретению ПО от CISA предлагает организациям методичные проверки и аудиты процессов разработки и распространения программных продуктов. Это помогает не только контролировать качество и безопасность на этапе поставки, но и формировать культуру ответственности среди производителей ПО. Новым значимым направлением стал проект "Золотой купол Америки" (Golden Dome for America), инициатива по защите противоракетной обороны США, который требует соблюдения строгих требований к аппаратной и программной цепочке поставок. Особенность проекта в том, что в нем наравне со спецификациями программного обеспечения (SBOM) используются и FBOM, и HBOM. Это свидетельствует о растущем понимании необходимости комплексного контроля за всеми слоями технологической инфраструктуры.
Не менее важными являются международные тенденции. Европейский союз внедряет Закон о киберустойчивости (Cyber Resilience Act), который с декабря 2024 года обязывает производителей цифровых продуктов предоставлять исчерпывающие спецификации компонентов программного обеспечения, включая версионность, лицензионные данные и известные уязвимости. Эти данные должны храниться в машиночитаемом формате и обновляться при каждом изменении программного комплекса. Закон направлен на повышение прозрачности, ускорение процессов устранения уязвимостей и усиление ответственности производителей. Отдельно стоит отметить руководство Агентства национальной безопасности США (NSA) по управлению SBOM, выпущенное в 2023 году.
Эта инструкция хоть и не является нормативным актом, но вносит существенный вклад в практическое внедрение спецификаций и реализацию эффективных программ управления рисками в цепочке поставок. Документ охватывает широкий спектр вопросов - от организационных подходов до технических стандартов и лучших практик. Природа современных киберугроз меняется: традиционные цели атак, такие как пользовательские устройства и публично доступные интерфейсы, становятся хорошо защищенными за счет многоуровневых систем безопасности. В результате злоумышленники смещают фокус на менее защищенные элементы, в первую очередь на микропрограммное обеспечение и аппаратные компоненты, где возможности для обнаружения и защиты традиционно ограничены. Группы угроз, относящиеся к государственным APT (Advanced Persistent Threat), как Salt Typhoon и Volt Typhoon, уже демонстрируют активность в этих областях.
Соответственно, новые требования федеральных органов и ведомств призваны сместить парадигму: от защищенности лишь конечных точек к целостному контролю всей технологической экосистемы. Это включает обеспечение полной прозрачности происхождения, состава и безопасности всех компонентов с помощью комплексных спецификаций SBOM, FBOM и HBOM. Для организаций это означает необходимость интегрировать практики генерации и управления спецификациями в свои процессы разработки, поставок и эксплуатации. Это требует дополнительного обучения персонала, внедрения специализированных инструментов и пересмотра внутренних политик безопасности. Более того, эффективное управление этими документами позволяет не только повысить уровень защиты, но и улучшить процессы реагирования на инциденты, обеспечивает возможность быстрой изоляции уязвимых компонентов, что имеет ключевое значение для поддержания непрерывности критически важной деятельности.
Для государственных структур и подрядчиков внедрение SBOM, FBOM и HBOM становится неотъемлемой частью соответствия федеральным нормативам и защиты от внешних и внутренних угроз. Это укрепляет доверие между заказчиками и поставщиками, делает цепочку поставок более прозрачной и податливой к управлению. Наконец, для аналитиков и специалистов по безопасности эти требования открывают новые возможности для проактивного выявления угроз и уязвимостей, а также повышения общего уровня киберустойчивости организаций всех отраслей. Эффективная реализация таких программ способствует укреплению национальной безопасности, защите от сложных и целенаправленных атак, а также развитию современного подхода к управлению информационными рисками. Таким образом, требования к программным спецификациям в Министерстве обороны США и федеральных органах устанавливают новый стандарт в области безопасности цепочек поставок.
Эти меры направлены на комплексное снижение рисков, связанные с многоуровневыми современными технологиями, и формируют основу для повышения устойчивости к современным киберугрозам на национальном и корпоративном уровнях. .
![Transition to Post-Quantum Cryptography Standards [pdf]](/images/776E2891-C859-4429-B916-6E7B8360BF91)
