Machine-readable security evidence
Signals дают transparency, но не гарантию. Assurance появляется, когда evidence интерпретировано, имеет owner и связано с решением.
Коротко: SBOM сам по себе не доказывает безопасность. Подписанный отчёт сам по себе не доказывает текущее состояние. Зрелый due diligence постоянно связывает machine-readable signals с ответственными remediation decisions.

Разрыв готовности

Обзор готовности OpenSSF за 2026 год показывает, что awareness остаётся слабой, а операционные практики вроде полного SBOM coverage развиваются недостаточно быстро. Это не только legal problem: многие организации всё ещё не могут ответить, что они поставляют, откуда это взялось и кто владеет vulnerability decision.

Machine-readable signals решают проблему масштаба, но только если команда сохраняет важное различие: signal — это evidence наблюдаемого поведения, а не сертификат и не перенос ответственности.

Минимальный evidence graph

  • Product/release inventory с owners, supported versions и customer exposure.
  • SBOM в CycloneDX или SPDX, привязанный к immutable artifact digest.
  • Provenance и verification подписи для build/release path.
  • Vulnerability intake из upstream advisories и exploit-priority sources плюс reachability и business context.
  • Decision record: fix, monitor, compensate или accept с owner, deadline и retest evidence.
  • Incident/disclosure workflow с clocks, contacts и сохранёнными facts.

Безопасный пример evidence record

{
  "schema": "virusologia-security-evidence/v1",
  "product": "customer-portal",
  "release": {
    "version": "4.8.2",
    "artifact_digest": "sha256:REPLACE_WITH_REAL_DIGEST",
    "sbom": "cyclonedx.json",
    "provenance_verified": true
  },
  "vulnerability_decision": {
    "advisory_id": "CVE-YYYY-NNNN",
    "runtime_reachable": false,
    "decision": "monitor",
    "owner": "product-security",
    "review_due": "ISO-8601-DATE",
    "evidence_ids": ["ev-asset-01", "ev-sbom-01", "ev-runtime-01"]
  }
}

Что тестировать вместо накопления бумаг

  • Можно ли восстановить происхождение release через source, workflow identity и digest?
  • Находит ли новый upstream advisory затронутый inventory и создаёт ли owned decision?
  • Истекает ли exception и возвращается ли на review, либо превращается в постоянный скрытый риск?
  • Может ли организация выдать актуальное evidence во время incident без ручного восстановления истории?
Важно: Это инженерный обзор, а не юридическая консультация. Применимость и сроки нужно проверять с профильным юристом и по официальным материалам ЕС.