Tedarik Zinciri ve AIBOM
Sentinel tedarik zinciri ve AIBOM akışları AI bağımlılıklarını, model dosyalarını, kaynak bilgisini, manifestleri, çalışma zamanı bileşenlerini ve bilinen zafiyetli paketleri envantere alır.
Sentinel AIBOM, AI yazılım malzeme listesi akışıdır. Bir AI yayını içinde hangi model, veri kümesi, istem, bağımlılık, konteyner, araç ve kaynak sinyalinin bulunduğunu kaydederek güvenlik ekibinin dağıtım öncesi risk incelemesi yapmasını sağlar.
Neler envantere alınır?
AI yayını yalnızca uygulama kodundan ibaret değildir. AIBOM; model dosyası, veri kümesi veya getirme indeksi, istem şablonu, araç, konteyner ve bağımlılık sürümü içermelidir.
- Model dosyası hash değeri, kaynak, lisans ve sorumlu
- İstem ve değerlendirme paketi sürümü
- Konteyner digest değeri ve çalışma zamanı paketleri
- MCP aracı, izinler ve taşıma türü
Tedarik zinciri riskleri
En yüksek riskli konular çalıştırılabilir dosya, eksik bütünlük kaydı, zafiyetli çalışma zamanı paketi, taklit bağımlılık adı ve değişebilir uzak referanslardır.
- Bilinen istismar edilen CVE yayını durdurur
- Değişebilir etiket ve sabitlenmemiş URL inceleme ister
- Eksik hash veya kaynak bilgisi yayın boşluğu yaratır
Güvenlik aktarımı
AIBOM çıktısı mühendislik ve yönetişim ekipleri için kullanılabilir olmalıdır. İncelenecek kadar kısa, olay müdahalesine yardım edecek kadar detaylı tutulmalıdır.
- JSON veya Markdown AIBOM’u yayın kaydına ekleyin
- Her CRITICAL/HIGH bağımlılık bulgusu için sorumlu atayın
- Yükseltme fark incelemesi için eski AIBOM’ları saklayın
OWASP AIBOM ve CycloneDX yapay zeka profili
OWASP AIBOM projesi, CycloneDX Yazılım Malzeme Listesi standardını yapay zekaya özgü bileşenlerle genişletir. CycloneDX yapay zeka profili AIBOM; model meta verisi, eğitim verisi kayıtları, değerlendirme sonuçları ve kaynak geçmişi bilgisini güvenlik ve uyum araçlarının işleyebileceği makine okunabilir bir biçimde yakalar.
- AIBOM şeması: yapay zeka yayın materyalini makine okunabilir envanterde tutun
- CycloneDX yapay zeka profili: SBOM kaydını model dosyası, eğitim verisi, istem, değerlendirme ve araç bileşenleriyle genişletir
- Veri kümesi parmak izi: eğitim ve getirme verisi için bütünlük sinyali kaydedin
- Duyuru incelemesi: AI/ML bağımlılıklarını, konteynerleri ve çalışma zamanı paketlerini güncel zafiyet verisiyle kontrol edin
- AIBOM farkı: sürümler arası karşılaştırma, incelenmemiş model, bağımlılık veya istem değişikliklerini ortaya çıkarır
Komutlar
sentinel supply-chain ./project/
sentinel aibom ./models/
sentinel scan ./project/ -f json -o sentinel-report.jsonBeklenen çıktı
Çıktı; kural kimliği, öncelik, yüzey, kanıt ve yayın kararını başka ekiplerin de anlayacağı şekilde taşımalıdır.
aibom:
models: 3
manifests: 2
dependencies: 148
findings:
- CVE-VULNERABLE-RUNTIME HIGH transformers pinned to vulnerable range
- MANIFEST-MISSING-INTEGRITY MEDIUM model manifest has no hashSık sorular
AIBOM, SBOM ile aynı mı?
Hayır. SBOM’u tamamlar; model, istem, değerlendirme, RAG indeksi ve araç izinleri gibi AI’a özgü yayın materyalini ekler.
Yayını ne durdurmalı?
Bilinen istismar edilen CVE, onaysız çalıştırılabilir dosya, üretim modeli için eksik bütünlük ve yayın paketi içinde gizli bilgi yayını durdurmalıdır.
CycloneDX yapay zeka profili AIBOM nasıl üretilir?
OWASP AIBOM proje araçlarını veya CycloneDX uyumlu araçları kullanarak model meta verisi, bağımlılık sürümleri ve kaynak geçmişi bilgisini standart JSON şemasına aktarın. Sentinel tedarik zinciri kontrollerini çalıştırın ve çıktıyı AIBOM bileşeni olarak ekleyin.
Eresus desteği
Bulguyu rapora değil, kapatılabilir aksiyona çevirin.
Tedarik Zinciri ve AIBOM için exploit kanıtı, önceliklendirme, düzeltme yönü ve yeniden test akışı gerekiyorsa Eresus ekibi kapsamı birlikte çıkarabilir.
Güvenlik Testi Başlat