Küresel Siber Ajanslardan Yapay Zeka Tedarik Zinciri Risklerine Karşı Yeni SBOM Rehberi Yazılım

Küresel Siber Ajanslardan Yapay Zeka Tedarik Zinciri Risklerine Karşı Yeni SBOM Rehberi

G7 siber güvenlik ajansları, yapay zeka sistemlerinde tedarik zinciri risklerini azaltmak için yedi kümeli yeni bir SBOM rehberi yayımladı.

Küresel siber güvenlik ajansları, yapay zeka (YZ) sistemlerinde tedarik zinciri güvenliğini güçlendirmek amacıyla YZ için Yazılım Malzeme Listesi (SBOM) minimum unsurlarını tanımlayan yeni bir kaynak yayımladı. G7 Siber Güvenlik Çalışma Grubu tarafından hazırlanan ve 12 Mayıs'ta yayımlanan belge, kamu ve özel sektör paydaşlarının YZ sistemleri ve tedarik zincirlerinde şeffaflığı artırmasını hedefliyor. Rehber, çalışma grubunun Haziran 2025'te yayımladığı YZ için SBOM ortak vizyonu üzerine inşa edildi.

Belgede YZ için SBOM yaklaşımının temelini oluşturan yedi küme bulunuyor. Bunlar: Metaveri (SBOM hakkında bilgi), Sistem Düzeyi Özellikler (YZ sistemi geneli ve yazılım bağımlılıkları), Modeller (kullanılan modellerin kimliği, ağırlıklar ve sınırlamalar), Veri Kümesi Özellikleri (veri kaynağı ve geçmişi), Temel Performans Göstergeleri (yaşam döngüsü aşamaları), Altyapı (fiziksel ve sanal altyapı ile donanım SBOM bağlantısı) ve Güvenlik Özellikleri (siber güvenlik önlemleri). Metaveri dışındaki tüm kümeler eşit öneme sahip.

Ancak belge, bu kümelerin zorunlu olmadığını ve daha da iyileştirilebileceğini vurguluyor. CISA'nın eski SBOM lideri Allan Friedman, kümelerin çoğunu beğendiğini ancak bazılarının kurumlar arasında ölçülmesi veya tanımlanmasının zor olduğunu belirtti. Ayrıca, YZ için SBOM'un tek başına tedarik zinciri güvenliğini artırmak için yeterli olmadığı, güvenlik açığı tarama araçları, güvenlik bültenleri ve uyarlanabilir mekanizmalarla birlikte kullanılması gerektiği ifade ediliyor.

Rehber, Almanya Federal Bilgi Güvenliği Ofisi (BSI), İtalya Ulusal Siber Güvenlik Ajansı (ACN), Fransa Ulusal Siber Güvenlik Ajansı (ANSSI), Kanada İletişim Güvenliği Kurumu (CSE), ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve Japonya Ulusal Siber Güvenlik Ofisi (NCO) tarafından AB Komisyonu iş birliğiyle ortaklaşa yayımlandı. Bu adım, küresel çapta YZ tedarik zinciri güvenliğine yönelik ortak bir çabanın parçası olarak değerlendiriliyor.

Paylaş: