SBOM và VEX: Liệu công cụ bảo mật chuỗi cung ứng này đang thất bại?

SBOM (Software Bill of Materials - Bảng thành phần phần mềm) được kỳ vọng sẽ củng cố bảo mật chuỗi cung ứng phần mềm. Tuy nhiên, thực tế lại cho thấy các cuộc tấn công đang gia tăng, và một nhà nghiên cứu cho rằng vấn đề không nằm ở dữ liệu, mà ở cách các tổ chức sử dụng nó.

SBOM được giới thiệu và bắt buộc áp dụng từ năm 2021 với mục đích cung cấp danh sách các thành phần cấu thành nên phần mềm, từ đó cải thiện khả năng quan sát và bảo vệ chuỗi cung ứng tốt hơn. Mặc dù SBOM cung cấp danh sách chi tiết các "nguyên liệu" phần mềm, nó không cung cấp thông tin về các "chất độc" đã biết có thể ảnh hưởng đến các nguyên liệu đó.

Quy định về SBOM

Để khắc phục hạn chế này, các tuyên bố VEX (Vulnerability Exploitability eXchange - Trao đổi Khả năng Khai thác Lỗ hổng) cũng được ra mắt. VEX là một tuyên bố về việc liệu một lỗ hổng đã biết trong thành phần SBOM có thể bị khai thác trong bối cảnh sử dụng cụ thể hay không. Về lý thuyết, SBOM và VEX được thiết kế để song hành nhằm đánh bại các mối đe dọa chuỗi cung ứng. Tuy nhiên, chúng đã thất bại.

Năm năm sau khi được giới thiệu, các cuộc tấn công chuỗi cung ứng diễn ra thường xuyên hơn bao giờ hết. Chỉ trong tháng 3 năm 2026, hai cuộc tấn công (Trivy và Axios) được cho là đã lây nhiễm cho hàng chục nghìn tổ chức.

Nhà nghiên cứu bảo mật độc lập Devashri Datta, người có các nghiên cứu được công bố trên Zenodo, OpenSSF và Revenera, đã tìm hiểu về sự thất bại của sáng kiến SBOM/VEX. Trong cuộc trao đổi với SecurityWeek, bà đưa ra kết luận: "Bảo mật chuỗi cung ứng phần mềm không đang thiếu dữ liệu; nó đang thiếu sự rõ ràng trong việc ra quyết định."

Dữ liệu đã tồn tại trong SBOM, các tuyên bố VEX, thông tin tình báo lỗ hổng và các tiết lộ từ bên thứ ba. "Mặc dù có tất cả dữ liệu này, các quyết định về bảo mật và tuân thủ vẫn không nhất quán, khó biện minh và thường mang tính phản ứng. Vấn đề không phải là khả năng quan sát. Đó là khả năng diễn giải."

Thiếu sự thống nhất và niềm tin

Một vấn đề khác là sự thiếu thống nhất trong việc cấp phát và nhận các bản SBOM mới. Trong khi các nhà cung cấp phần mềm được yêu cầu tạo SBOM mới cho mọi bản dựng phần mềm mới (cập nhật, bản vá, phiên bản mới), họ không bị yêu cầu phổ quát phải gửi các SBOM này cho tất cả khách hàng. Một số làm, một số không. Trong nhiều trường hợp, nếu khách hàng không yêu cầu cập nhật SBOM, họ có thể không biết rằng SBOM đã thay đổi.

Chất lượng của các tuyên bố VEX cũng rất khác nhau. "VEX gặp khó khăn trong việc được áp dụng rộng rãi," bà Datta nói, "không chỉ vì giới hạn công cụ, mà vì các tổ chức thiếu sự tự tin khi đưa ra và bảo vệ các khẳng định về khả năng khai thác. Trong nhiều trường hợp, sự do dự này được thúc đẩy bởi lo ngại về trách nhiệm pháp lý cũng như sự không chắc chắn về mặt kỹ thuật."

Kết quả là, "Các đội ngũ bảo mật dựa vào điểm mức độ nghiêm trọng mà không có bối cảnh, các đội ngũ kỹ thuật thiếu tiêu chí quyết định rõ ràng và nhất quán, và các đội ngũ pháp lý hoạt động dựa trên dữ liệu tiết lộ bị ngắt kết nối."

Giải pháp: Lớp quản trị thông minh

Theo quan điểm của bà Datta, yêu cầu đầu tiên là khách hàng phần mềm phải đảm bảo họ có dữ liệu cập nhật. Nhưng sau đó, vấn đề lớn hơn không chỉ là sở hữu dữ liệu này mà là khả năng diễn giải nó. "Vấn đề thực sự là sự thiếu vắng một lớp quản trị có thể diễn giải các thay đổi trên các SBOM theo thời gian."

Vậy, những gì đang thiếu không phải là nhiều dữ liệu hơn hay một công cụ khác, mà là "Một cách tiếp cận thông minh ra quyết định thống nhất có thể hoạt động trên các đầu vào này."

Bà giải thích thêm: "Điều này có thể được coi là một lớp thông minh dựa trên quản trị, diễn giải SBOM như các tín hiệu vòng đời chứ không chỉ là danh mục kiểm kê; sử dụng VEX như đầu vào bối cảnh chứ không phải là sự thật tuyệt đối; tích hợp các tiết lộ từ bên thứ ba vào suy luận rủi ro; và tạo ra các quyết định có thể giải thích và bảo vệ."

Mục tiêu không chỉ là tự động hóa mà là việc ra quyết định nhất quán, có thể kiểm toán trong suốt vòng đời. Điều này ngày càng cấp thiết và quan trọng. Cho đến nay, SBOM và VEX đã không thể giảm thiểu các cuộc tấn công chuỗi cung ứng trong bối cảnh các mối đe dọa đang gia tăng. Các mô hình AI mới nhất trong tay kẻ tấn công đã thu hẹp thời gian từ khi phát hiện lỗ hổng đến khi khai thác lỗ hổng xuống chỉ còn vài giờ hoặc ít hơn. Với tốc độ này, việc dựa vào tài liệu lỗi thời trở thành một rủi ro bảo mật.

Đồng thời, bà Datta cho biết: "Áp lực quy định đang tăng lên cùng với các yêu cầu về SBOM, yêu cầu phát triển an toàn và yêu cầu minh bạch chuỗi cung ứng." Đã đến lúc cần giải quyết vấn đề này.

"Thách thức thực sự là: 'Các tổ chức có thể giải thích tại sao một quyết định được đưa ra và bảo vệ nó sau này không?' Nếu không có một mô hình quyết định thống nhất, câu trả lời thường là 'Không'."