Codenotary розширила можливості свого безкоштовного сервісу SBOM.sh, додавши інструменти для роботи з ШІ-орієнтованим ланцюгом постачання ПЗ. Оновлення спрямоване на підвищення прозорості походження даних і моделей, які використовуються в AI-системах, що стає критичним на тлі зростання регуляторних вимог, зокрема в ЄС.
Попри активне використання ШІ для написання коду, ризики ланцюга постачання ПЗ нікуди не зникають. Якщо компанія використовує AI у продакшені, вона все одно має документувати склад програмного забезпечення у Software Bill of Materials (SBOM). Це особливо актуально для компаній, які працюють або планують вихід на ринок Європейського Союзу, де починає діяти Cyber Resilience Act (CRA).
Саме на це реагує розширення SBOM.sh — безкоштовного хмарного сервісу Codenotary для створення, зберігання, аналізу та поширення SBOM. Компанія наголошує, що тепер сервіс розглядає датасети та AI-моделі як повноцінні артефакти ланцюга постачання, а не як другорядні компоненти. Це подається як еволюція концепції SBOM відповідно до того, як на практиці створюються, розгортаються й експлуатуються AI-native системи.
SBOM.sh працює шляхом завантаження SBOM-файлів у форматі JSON, після чого користувач отримує унікальний URL для доступу та поширення документа — через браузер або інструменти командного рядка на кшталт cURL. Сервіс підтримує стандартні формати SBOM — CycloneDX та SPDX — і може інтегруватися у CI/CD-процеси через контейнерні образи, файлові системи та Git-репозиторії за допомогою супутніх інструментів і GitHub Actions.
Ключова ідея оновлення полягає в тому, що дані для навчання та виконання моделей є частиною ланцюга постачання ПЗ і потребують такого ж рівня контролю, як бібліотеки або контейнери. За словами Codenotary, такий підхід допомагає закрити критичний дефіцит видимості, який впливає на управління, відповідність регуляторним вимогам і ризик-менеджмент AI-навантажень.
CEO та співзасновник Codenotary Moshe Bar зазначив:
«Традиційні інструменти SBOM створювалися для іншої епохи — вони зосереджувалися майже виключно на вихідному коді. Команди безпеки буквально “тонуть” у SBOM, але не отримують прикладної ясності, особливо зараз, коли AI-застосунки будуються на датасетах, які повністю ігноруються класичними SBOM».
У межах розширення сервіс отримав низку AI-специфічних можливостей, орієнтованих на аудит і нові регуляторні вимоги. SBOM.sh тепер документує походження датасетів, ліцензійні умови та механізми управління даними, що дозволяє зменшити ризики, пов’язані з некоректно отриманими або керованими даними. Також фіксується «родовід» моделей — базові моделі, історія fine-tuning, ідентифікатори версій та шляхи оновлень, формуючи трасований ланцюг еволюції моделей.
Окремо сервіс надає видимість операцій inference — endpoint’ів, контролів доступу, інтеграцій у runtime-середовищах і механізмів моніторингу, показуючи, як саме моделі викликаються у продакшені. Контекст власності та відповідальності вбудовується на рівні датасетів, моделей і операційних компонентів, щоб було зрозуміло, хто за що відповідає.
У сукупності Codenotary описує ці зміни як перехід від статичного знімка SBOM до «живого, поведінкового інвентарю» даних, моделей і AI-операцій.
Попри розширення AI-функціональності, SBOM.sh залишається безкоштовним сервісом, доступним для розробників, DevOps-команд і фахівців із безпеки. Веб-орієнтований, API-керований підхід дозволяє масштабувати сервіс і вбудовувати його в наявні CI/CD-пайплайни.
Codenotary зазначає, що її ширша платформа вже використовується сотнями клієнтів у всьому світі — зокрема банками, державними структурами та оборонними організаціями — для захисту життєвого циклу розробки ПЗ за допомогою перевірки цілісності та виявлення втручань. Компанія також підкреслює використання власних AI-моделей для розпізнавання шаблонів атак у сучасних software-pipeline’ах.
Якщо оновлений SBOM.sh виправдає заявлені можливості, він може стати ключовим елементом інфраструктури для команд, які намагаються відповісти на дедалі частіше запитання регуляторів, клієнтів і рад директорів: «Що саме входить до вашого ШІ-коду?».
Читайте на ProIT: Опитування 3266 фахівців DevSecOps показало: понад три чверті (76%) вважають, що зі зростанням використання штучного інтелекту (AI) для генерації коду ринку буде потрібно більше, а не менше інженерів для управління та розгортання програмного забезпечення.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
