Nástroj pro správu metadat SBOM

Thumbnail Image

Files

final-thesis.pdf (2.03 MB)
 appendix-1.zip (151.85 KB)
 Posudek-Vedouci prace-Posudek diplomove prace Marek Szymutko Ales Raszka.pdf (41.34 KB)
 review_167323.html (5.77 KB)

Date

Authors

Szymutko, Marek

Advisor

Referee

Mark

A

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií

ORCID

Abstract

Metadata SBOM jsou poměrně novým problémem v oblasti DevSecOps. V USA je vydávání těchto metadat vyžadováno vydáním prezidentského nařízení č. 14028, v Evropské Unii je pak jejich vydávání nutné až od roku 2027. Pro vydávání těchto metadat však existuje více standardů a je možné využít více metodologií při jejich tvorbě. Společnost Red Hat tedy vydala vlastní harmonizující návody, na jejichž základě má být dosaženo vydávání jednotných a v praxi využitelných dokumentů SBOM. Práce se věnuje legislativnímu významu metadat SBOM, jejich úloze při ochraně dodavatelského řetězce a vysvětluje jejich souvislost s metadaty VEX. V rámci práce byla vytvořena aplikace umožňující známkování kvality dokumentů SBOM podle na základě doporučení od společnosti Red Hat a také nástroj pro překlad mezi dvěma nejvíce užívanými formáty metadat SBOM. K tomuto účelu byl v rámci práce vytvořen i jazyk pro vyhledávání v datových strukturách JSON. Aplikace byla testována, včetně testů na datech poskytnutých společností Red Hat. Počítá se s nasazením této aplikace do CI/CD infrastruktury společnosti Red Hat.
SBOMs are a new problem in the field of DevSecOps. In the USA, the creation of SBOMs is mandatory per Executive Order 14028, whereas in the European Union issuing SBOMs will be necessary only after 2027. There are multiple standards for SBOM creation and various methodologies can be used for SBOM creation. The company Red Hat issued SBOM guidelines that aim to ensure accurate and useful SBOMs. This thesis aims to explain SBOM legislation, the role of these documents in the software supply chain, their correlation to metadata VEX. In the scope of this thesis, an application for SBOM grading and format conversion was created based on the Red Hat guidelines. To achieve this functionality a custom query language for searching in JSON files was created. The application has been thoroughly tested, including testing on data provided by Red Hat. It is expected to include the developed application in the CI/CD infrastructure of Red Hat.

Description

Keywords

Bezpečnost , CI/CD , DevSecOps , dodavatelský řetězec , EU , legislativa , Red Hat , SBOM , USA , VEX , CI/CD , DevSecOps , EU , legislation , Red Hat , SBOM , security , supply chain , USA , VEX

Citation

SZYMUTKO, M. Nástroj pro správu metadat SBOM [online]. Brno: Vysoké učení technické v Brně. Fakulta elektrotechniky a komunikačních technologií. 2025.

Document type

Document version

Date of access to the full text

Language of document

cs

Study field

bez specializace

Comittee

doc. Ing. Karel Burda, CSc. (předseda) Ing. Tomáš Lieskovan, Ph.D. (člen) Ing. Ján Sláčik (člen) Mgr. Jakub Vostoupal, Ph.D. (člen) prof. Ing. Róbert Hudec, Ph.D. (místopředseda) Ing. Anna Kubánková, Ph.D. (člen) Ing. Marek Sikora (člen)

Date of acceptance

2025-06-09

Defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Otázky oponenta: Jak bude zajištěna udržitelnost nástroje, např. jeho aktualizace při vydání nové verze CycloneDX nebo SPDX? Půjde toto za společností Red Hat nebo komunitou? Jak přesně by vypadal řetězec operací pro hodnocení bezpečnosti software využívající SBOM a vyvinutý nástroj? Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta.

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/251511

Collections

2025

Endorsement

Review

Supplemented By

Referenced By

Citace PRO