Küresel siber güvenlik ajansları, yapay zeka (YZ) tedarik zincirini güçlendirmek amacıyla yazılım malzeme listeleri (SBOM) için minimum unsurları tanımlayan yeni bir kaynak yayınladı. G7 Siber Güvenlik Çalışma Grubu tarafından hazırlanan belge, kamu ve özel sektör paydaşlarının YZ sistemlerinde ve tedarik zincirlerinde şeffaflığı artırmasına yardımcı olmayı hedefliyor. 12 Mayıs'ta yayınlanan 'Yapay Zeka için Yazılım Malzeme Listesi (SBOM) - Minimum Unsurlar' başlıklı rapor, çalışma grubunun Haziran 2025'te yayınladığı ortak vizyonun üzerine inşa ediliyor.
Belgenin çekirdeğini, YZ sistemi üreticileri ve kullanıcıları tarafından kullanılabilecek yedi 'küme' oluşturuyor. Bu kümeler, YZ tedarik zincirindeki farklı bileşenleri kapsamlı bir şekilde ele alıyor. İlk küme olan Metaveri, SBOM'un kendisiyle ilgili bilgileri içerirken, Sistem Düzeyi Özellikler kümesi YZ sisteminin genel özelliklerini, yazılım bağımlılıklarını ve veri işleme süreçlerini kapsıyor. Modeller kümesi, kullanılan YZ modellerinin kimliği, ağırlıklarının nasıl üretildiği ve sınırlamaları hakkında bilgi sağlıyor.
Veri Kümesi Özellikleri, modelin yaşam döngüsü boyunca kullanılan veri kümelerinin kaynağını ve kimliğini belgeliyor. Temel Performans Göstergeleri kümesi, YZ sisteminin ve bileşenlerinin performansını yaşam döngüsü aşamalarına odaklanarak ölçüyor. Altyapı kümesi, fiziksel ve sanal altyapıyı kapsarken, Güvenlik Özellikleri kümesi YZ modellerine ve sistemlerine uygulanan siber güvenlik önlemlerine odaklanıyor. Belge, Metaveri kümesi dışındaki tüm kümelerin eşit derecede önemli olduğunu vurguluyor.
Ancak belge, bu kümelerin zorunlu olmadığını ve daha da iyileştirilebileceğini belirtiyor. Eski CISA SBOM sorumlusu Allan Friedman, kümelerin çoğunu beğendiğini ancak birçoğunun 'ölçülmesi zor veya belirli, kurumlar arası bir şekilde tanımlanması zor' olduğunu ifade etti. Belge ayrıca, YZ için SBOM'un tek başına tedarik zincirinde siber güvenliği artırmak için 'yeterli olmadığını' vurguluyor.
Önemli Gelişmeler
Yazarlara göre, YZ tedarik zincirinin etkili bir şekilde korunması için SBOM'un güvenlik açığı tarama ve yönetim araçları, güvenlik uyarıları ve bültenleri gibi siber güvenlik araçlarıyla bağlantılı olması gerekiyor. Ayrıca uyarlanabilir ve evrimsel araç mekanizmalarının geliştirilmesi teşvik ediliyor. Belge, 'Sonuç olarak, YZ için SBOM, doğru siber güvenlik araçlarıyla birlikte kullanıldığında YZ tedarik zincirinin güvenliğini güçlendirmeye yardımcı olacaktır' diyor.
Teknik Analiz
Kılavuz, Almanya Federal Bilgi Güvenliği Ofisi (BSI), İtalya Ulusal Siber Güvenlik Ajansı (ACN), Fransa Ulusal Siber Güvenlik Ajansı (ANSSI), Kanada İletişim Güvenliği Kurumu (CSE), ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) ve Japonya Ulusal Siber Güvenlik Ofisi (NCO) tarafından AB Komisyonu iş birliğiyle ortaklaşa yayınlandı. Bu iş birliği, YZ tedarik zinciri güvenliğinin küresel ölçekte ele alınması gerektiğini gösteriyor.
Kaynak: infosecurity-magazine.com