Разрыв готовности
Обзор готовности OpenSSF за 2026 год показывает, что awareness остаётся слабой, а операционные практики вроде полного SBOM coverage развиваются недостаточно быстро. Это не только legal problem: многие организации всё ещё не могут ответить, что они поставляют, откуда это взялось и кто владеет vulnerability decision.
Machine-readable signals решают проблему масштаба, но только если команда сохраняет важное различие: signal — это evidence наблюдаемого поведения, а не сертификат и не перенос ответственности.
Минимальный evidence graph
- Product/release inventory с owners, supported versions и customer exposure.
- SBOM в CycloneDX или SPDX, привязанный к immutable artifact digest.
- Provenance и verification подписи для build/release path.
- Vulnerability intake из upstream advisories и exploit-priority sources плюс reachability и business context.
- Decision record: fix, monitor, compensate или accept с owner, deadline и retest evidence.
- Incident/disclosure workflow с clocks, contacts и сохранёнными facts.
Безопасный пример evidence record
{
"schema": "virusologia-security-evidence/v1",
"product": "customer-portal",
"release": {
"version": "4.8.2",
"artifact_digest": "sha256:REPLACE_WITH_REAL_DIGEST",
"sbom": "cyclonedx.json",
"provenance_verified": true
},
"vulnerability_decision": {
"advisory_id": "CVE-YYYY-NNNN",
"runtime_reachable": false,
"decision": "monitor",
"owner": "product-security",
"review_due": "ISO-8601-DATE",
"evidence_ids": ["ev-asset-01", "ev-sbom-01", "ev-runtime-01"]
}
}
Что тестировать вместо накопления бумаг
- Можно ли восстановить происхождение release через source, workflow identity и digest?
- Находит ли новый upstream advisory затронутый inventory и создаёт ли owned decision?
- Истекает ли exception и возвращается ли на review, либо превращается в постоянный скрытый риск?
- Может ли организация выдать актуальное evidence во время incident без ручного восстановления истории?