软件物料清单 (SBOM):从透明度理念到代码落地
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
代码漏洞的数量和影响都在不断增长。随着越来越多的软件成分来自不同的供应商即软件供应链,快速找到并修复其中的漏洞也变得越发艰难。最近,某软件团队发现了一个 IP 漏洞且不得不通过 LinkedIn 找到能够修复该漏洞的财富100强公司,使它们意识到这个问题的存在。
其中的一个解决之道是使用软件物料清单 (SBOM)。美国商务部国家电信和信息管理局 (NTIA) 的网络安全计划主管 Allan Friedman 分享了通过 SBOM 使代码内部运作机制透明化的重要性。
SBOM 是什么?
SBOM 是描述软件包依赖树的一系列元数据,包括多种关键信息如提供商、版本号和组件名称。这些基本详情在分析软件漏洞时发挥着关键作用。这些漏洞根植于多种组件中,如下流程图所示。
SBOM 的价值是什么?
透明度使市场繁荣发展。例如,食品原料和标记使人们获得做出明智决策的所需知识。虽然标签无法保证人们将健康饮食,但有助于获得做出正确饮食选择的信息。同样,一份 SBOM 无法自动解决所有的安全问题,但使得团队更快更容易地解决这些问题。
SBOM 同时能够说明软件组件的很多信息。例如,如果SBOM中存在6个数据包版本,则很有可能其中的一个版本易受攻击。
这些能力远不止于漏洞,还表现在冗余方面。例如,有多少开源项目仅依赖于一个组件的问题,它被称为“尤克里里问题“,或者说,项目所有人可能会放弃这个爱好,拿起尤克里里,搁浅所有的依赖项目。
为何 SBOM 尚未成为标准实践?
SBOM 尚未成为当前的标准实践,原因很多。虽然它们正在站稳脚跟,但仍然存在一个鸡蛋和鸡的问题,没有人在询问这一点,因此也就没有提供。
另外,在供应链中并不一定易于创建 SBOM。作为一个新概念,这个行业挣扎于与其相关的最佳实践和工具集。例如,SBOM 要求命名一致,而供应商甚至合作伙伴会给相同组件不同的命名。
另外还有许可证和开源问题。
如何构建 SBOM?
按照NTIA的流程,具有一些制定 SBOM 的指导原则。其中最重要的原则就是意识到在学会走之前必须先会爬。我们有必要制定一个基础的 SBOM,便于团队进行对齐。所创建的 SBOM 需要是机器可读的,以便自动化,之后需要发布到一个已知或可发现的位置,便于访问和分析。
如何实现 SBOM?
当前实现 SBOM 的格式有三种:
1、SPDIX:Linux 基金会的根本投入。该计划是沟通SBOM信息的开放标准,包括组件、许可证、版权和安全引用。
2、CycloneDX:专为安全上下文和供应链组件分析而构建。
3、 SWID 标记:由记录关于软件组件唯一信息且协助存储管理计划的文件组成。
SBOM 示例
医疗行业可以见到重要的 SBOM 概念验证情况,它依赖于物料清单来找到漏洞和可利用组件。这样做还可使供应商了解重要医疗设备的软件问题。
工具集
虽然现在已有制作 SBOM 的工具且未来也会不断出现,但 NTIA 给出了工具集分类,帮助团队选择正确的工具集。
这份分类围绕的是 SBOM:
生产:在选择 SBOM 的格式和输出工件,以及分析并编辑已有列表时需要谨慎仔细。
耗尽:良好的工具集使得团队能够读取内容并且对比不同的 SBOM 从而检测出其中的不同之处。
变革:可结合SBOM 和其它数据的多个来源进行审计。
NTIA 还鼓励工具间的互操作性,以便所有人一起提高意识并提升工具的用处。
政府认可
就像医疗设备所达到的那样(生死问题),SBOM 应该也能未其它行业和应用程序做到这一点。当前的管理层意识到了网络安全的重要性并发布行政令,说明了 SBOM 及其价值。
SBOM 的未来
不止在美国,在全球也是一样,政府和行业认为 SBOM 对于安全的作用越来越重要。我们正在见证 SBOM 被认可和发挥作用的未来。
未来的愿景是,越来越多的组织机构在采用 SBOM 方法并帮助社区优化工具,以满足行业内的更多需求。SBOM 并非所有安全问题的解决方案,而是团队做出智慧安全决策的一部分。
推荐阅读
Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击
Linux 应用市场易受RCE和供应链攻击,多个0day未修复
在线阅读版:《2021中国软件供应链安全分析报告》全文
给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程
原文链接
https://blog.sonatype.com/sbom-from-the-idea-of-transparency-to-the-reality-of-code
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
软件物料清单 (SBOM):从透明度理念到代码落地相关推荐
- 美国商务部发布软件物料清单 (SBOM) 的最小元素(下)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 美国商务部发布软件物料清单 (SBOM) 的最小元素(上)
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- Linux 基金会发布《软件物料清单和网络安全准备度现状》报告
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 构建开源供应链安全的软件物料清单(SBOM)
目录 一.SBOM概述 1.什么是SBOM 2.为什么需要SBOM 3.什么是CycloneDX 二.构建SBOM的必要性 1.安全要求 2.合规要求 3.格式要求 三.SPDX是什么? 四.SBOM ...
- 如何使用清源CleanSource SCA建立软件物料清单(SBOM)
清源(CleanSource) SCA的 SBOM 可以帮助用户更好地遵守标准,与客户建立信任,并提升软件供应链安全. 提升软件供应链的透明度是解决开源代码安全与合规问题的未来方向, SBOM 是其中 ...
- 浅谈SBOM(软件物料清单)
文章目录 SBOM是什么 SBOM的作用和好处 SBOM的实施 SBOM的范围 同步发表于个人站点: http://panzhixiang.cn/article/2022/11/17/63.html ...
- 关于软件物料清单(SBOM),你所需要了解的一切
在此前的多篇文章中,我们已经详细地介绍了软件物料清单(SBOM)对于保障软件供应链安全的重要性以及一些注意事项.在本文中,我们将会更深入地介绍SBOM,包括最低要求元素.格式.使用场景以及如何对其进行 ...
- SBOM(Software Bill of Materials,软件物料清单)
微软近日将其用于公司内部的 SBOM(Software Bill of Materials,软件物料清单)生成工具开源 微软开发的这个工具名为Salus,可在 Windows.Linux 和 Mac ...
最新文章
- MATLAB 多项式
- 使用Servlet上传多张图片——Dao层(ProductInfoDao.java)
- <load-on-startup>1</load-on-startup>的作用
- 罗小黑用flash做的_中影星美好看罗小黑战记正式定档!
- 2022年春招互联网人平均薪资18500元
- oracle用哪个用户创建表空间,Oracle用定名创建表空间和用户
- 基于VISSIM和Python的二次开发基础—多时段配时控制
- 2019,边缘计算人在看什么书?
- Badboy下载地址
- 用SPSS进行描述性分析
- configure: error: Package requirements (sqlite3 」 3.7.4) were not met:
- bcdedit删除引导_Bcdedit命令教程以及用于编辑Windows引导配置的示例
- 初学Flutter 环境搭建
- uWSGI学习笔记3——使用uWSGI部署Flask应用
- java医院管理系统源码_医院管理信息系统
- 智慧家庭信息安全白皮书发布,推动智慧家庭叫好又叫座
- 日文IT词汇的中文翻译
- 炎黄传媒人事大变 投资方查账上现金引发恐慌
- 变更3个概念:变更请求,批准的变更请求,确认的变更的理解
- java 多线程 从无到有_多线程断点续传(简单demo)——从无到有