 其中�,在解釋“SCA”的時(shí)候��, 談到了SBOM�����,那么�,具體什么是SBOM呢?除了與系統(tǒng)的安全性緊密相關(guān)之外�,SBOM還有怎樣的價(jià)值呢? 1. 從BOM到SBOM 在詳細(xì)了解SBOM之前�����,理解什么是BOM可能大有裨益��。 BOM(Bill of Material)即物料清單��,也就是以數(shù)據(jù)格式來(lái)描述產(chǎn)品結(jié)構(gòu)的文件��, 是一份列出生產(chǎn)和制造產(chǎn)品所需原材料的清單���。產(chǎn)品開(kāi)發(fā)涉及多個(gè)團(tuán)隊(duì)�����,BOM在產(chǎn)品設(shè)計(jì)��、開(kāi)發(fā)����、生產(chǎn)和分銷(xiāo)之間架起了橋梁�,有助于實(shí)現(xiàn)多方通力合作。BOM 不僅包含詳細(xì)的物料清單����,還包括所需物料的采購(gòu)和使用說(shuō)明。這些信息可以存儲(chǔ)在電子表格�、ERP 或 PLM 之類(lèi)的現(xiàn)代化集成系統(tǒng)等許多位置。 從技術(shù)上看����,BOM是計(jì)算機(jī)可以識(shí)別的產(chǎn)品結(jié)構(gòu)數(shù)據(jù)文件����,BOM是系統(tǒng)識(shí)別產(chǎn)品的結(jié)構(gòu)����,也是聯(lián)系與溝通企業(yè)各項(xiàng)業(yè)務(wù)的紐帶。在ERP系統(tǒng)中��,BOM往往分為生產(chǎn)BOM����、成本BOM和計(jì)劃BOM等。在物聯(lián)網(wǎng)產(chǎn)品中����,硬件的BOM往往與成本直接相關(guān)。一份好的 BOM 有助于高效���、準(zhǔn)確地制造產(chǎn)品�����,幫助企業(yè)在實(shí)際生產(chǎn)開(kāi)始前確定制造產(chǎn)品所需的全部要素和流程并進(jìn)行定價(jià)�����。 SBOM(Software Bill of Material���,軟件物料清單)是企業(yè)使用的所有軟件組件的完整列表。SBOM通常由第三方開(kāi)源庫(kù)���、供應(yīng)商提供的軟件包和企業(yè)自己編寫(xiě)的專(zhuān)有軟件構(gòu)成��。從技術(shù)維度看�,軟件物料清單(SBOM)是一種正式的且機(jī)器可讀的元數(shù)據(jù)����,可唯一地標(biāo)識(shí)軟件組件、其依賴(lài)項(xiàng)和許可證信息�。SBOM旨在跨組織共享,特別有助于提高軟件組件的透明度�,尤其是當(dāng)這些組件是由供應(yīng)鏈中的參與者交付提供的。 SBOM最小必需元素是實(shí)踐過(guò)程中需要的元素最小集����,如下圖所示:  企業(yè)可通過(guò)參考以上三類(lèi)元素,并擴(kuò)展企業(yè)自身需要管理的額外信息����,構(gòu)成適合自身標(biāo)準(zhǔn)的SBOM清單���。 2. 為什么需要SBOM 關(guān)于SBOM的產(chǎn)生,與系統(tǒng)的安全性息息相關(guān)�����,尤其是Log4Shell風(fēng)波之后, 關(guān)注軟件安全的企業(yè)一般會(huì)把SBOM 作為網(wǎng)絡(luò)安全戰(zhàn)略的基石�����。 系統(tǒng)安全是一個(gè)全球性的問(wèn)題�。歐盟早在2014年就通過(guò)了《通用數(shù)據(jù)保護(hù)條例》(GDPR),并在2016年成為一項(xiàng)可執(zhí)行的法規(guī)�����。GDPR旨在為人們提供對(duì)其個(gè)人信息的高度控制���,通過(guò)規(guī)則來(lái)滿足如何處理個(gè)人信息的要求���。在此基礎(chǔ)上,2019年出臺(tái)了《網(wǎng)絡(luò)和信息系統(tǒng)安全指導(dǎo)》和《歐盟網(wǎng)絡(luò)安全法》��。  在我國(guó),從2017年的《網(wǎng)絡(luò)安全法》開(kāi)始�,該法對(duì)IT服務(wù)提供商以及他們?nèi)绾翁幚韨€(gè)人信息提出了規(guī)范要求。2021年的《數(shù)據(jù)安全法》��,該法對(duì) “國(guó)家核心數(shù)據(jù) “實(shí)施了以政府主導(dǎo)的更嚴(yán)格監(jiān)管����。2021年11月��,頒布了新的《個(gè)人信息保護(hù)法》��,提高了政府對(duì)技術(shù)公司的監(jiān)管力度���,同時(shí)也逐步提高了對(duì)個(gè)人信息處理的要求��。 安全性是影響企業(yè)選擇軟件的第一考慮因素��,許可證合規(guī)性是第二考慮因素����,即便考慮其他要素��,安全性和許可證合規(guī)性仍然是最重要的考量因素���。企業(yè)關(guān)注軟件安全的主要原因包括財(cái)務(wù)風(fēng)險(xiǎn)��、法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)����,要強(qiáng)調(diào)軟件安全問(wèn)題的策略連貫性。 提高軟件供應(yīng)鏈的透明度和安全性是至關(guān)重要的����,解決軟件供應(yīng)鏈的安全問(wèn)題涉及一系列的活動(dòng),例如: ·開(kāi)發(fā)環(huán)境的安全 ·檢查軟件組件中已知的和潛在的漏洞��,并對(duì)其進(jìn)行修復(fù) ·維護(hù)準(zhǔn)確和最新的數(shù)據(jù)����,明確軟件代碼的來(lái)源 ·為購(gòu)買(mǎi)者提供每個(gè)軟件產(chǎn)品的SBOM SBOM是解決其中一些問(wèn)題的有效方式,特別是那些專(zhuān)注于了解軟件產(chǎn)品的漏洞��、許可證合規(guī)義務(wù)和代碼來(lái)源的需求���。因此�����,生產(chǎn)和消費(fèi)SBOM被認(rèn)為是解決所有類(lèi)型的軟件產(chǎn)品(包括開(kāi)源和閉源組件)的各種信任問(wèn)題的有效途徑�����。也就是說(shuō)����,SBOM是解決軟件供應(yīng)鏈安全的一個(gè)關(guān)鍵催化劑。 SBOM的主要目的是明確地識(shí)別組件及其彼此之間的關(guān)系���。SBOM并不會(huì)解決所有的軟件安全問(wèn)題���,但是它構(gòu)成了一個(gè)基礎(chǔ)的數(shù)據(jù)層�����,在這之上可以進(jìn)一步構(gòu)建安全工具�、實(shí)踐和保證。 3. SBOM的特點(diǎn)和優(yōu)勢(shì) 一般認(rèn)為���,SBOM具有6個(gè)維度的特點(diǎn): 具有豐富的元數(shù)據(jù) 機(jī)器可讀性是SBOM的關(guān)鍵指標(biāo) 識(shí)別已知和未知的依賴(lài)傳遞 隨著每次代碼變更而更新 元信息應(yīng)該與模塊綁定 應(yīng)在發(fā)現(xiàn)漏洞時(shí)及時(shí)反饋 SBOM使開(kāi)發(fā)人員更容易理解廣泛且復(fù)雜的項(xiàng)目中的依賴(lài)關(guān)系���。在微服務(wù)應(yīng)用程序具有許多組件的時(shí)代,每個(gè)組件通常具有一定數(shù)量的依賴(lài)關(guān)系�����,在現(xiàn)實(shí)的軟件系統(tǒng)中經(jīng)常會(huì)遇到依賴(lài)地獄——  SBOM通過(guò)顯式的方式標(biāo)識(shí)出依賴(lài)關(guān)系,隨著應(yīng)用程序中組件的復(fù)雜性和數(shù)量的增加�,這一點(diǎn)越來(lái)越有用。 SBOM的生產(chǎn)通常與構(gòu)建商業(yè)軟件的企業(yè)緊密相連�,生產(chǎn)SBOM 的三大益處:開(kāi)發(fā)人員更容易理解應(yīng)用程序組件之間的依賴(lài)關(guān)系,也更容易對(duì)組件的漏洞進(jìn)行監(jiān)控�����,以及更容易確認(rèn)許可證的合規(guī)性���。從而���,這三大益處同樣會(huì)帶來(lái)3個(gè)使用SBOM的優(yōu)勢(shì):由SBOM提供的軟件透明度使得及時(shí)發(fā)現(xiàn)漏洞、主動(dòng)識(shí)別已達(dá)到生命周期終點(diǎn)的組件和及時(shí)察覺(jué)風(fēng)險(xiǎn)組件成為可能�����。這些好處有助于組織提高安全性�,減少風(fēng)險(xiǎn)并為其客戶(hù)和商業(yè)伙伴提供更可靠的服務(wù)。 SBOM提供的信息改進(jìn)了之前基于風(fēng)險(xiǎn)的決策方式��,SBOM的漏洞報(bào)告使組織能夠更快速���、更直接地了解安全風(fēng)險(xiǎn)���。使用SBOM的收益與生產(chǎn)SBOM的效益完全一致�,體現(xiàn)了相同的價(jià)值觀:解決合規(guī)性要求與管理許可證合規(guī)性密切相關(guān)�����,改進(jìn)基于風(fēng)險(xiǎn)的決策和安全風(fēng)險(xiǎn)的暴露與組件依賴(lài)關(guān)系的清晰度和組件漏洞的監(jiān)管程度密切相關(guān)����。  此外,在一些特定場(chǎng)景中SBOM也會(huì)最大限度地發(fā)揮作用�,例如—— 融資�、并購(gòu)和IPO:SBOM是收購(gòu)、IPO或融資過(guò)程中技術(shù)盡調(diào)的重要一環(huán)����。利益相關(guān)方會(huì)要求獲取文檔以更好地了解產(chǎn)品中的軟件成分以及許可證合規(guī)性、安全性或代碼質(zhì)量風(fēng)險(xiǎn)�����。 客戶(hù)要求:由于企業(yè)都將防止軟件供應(yīng)鏈風(fēng)險(xiǎn)的優(yōu)先級(jí)提高了���,未來(lái)會(huì)有越來(lái)越多的企業(yè)要求采購(gòu)環(huán)節(jié)中需要提供SBOM��。 版本兼容:維護(hù)大量舊軟件的公司經(jīng)常需要進(jìn)行軟件包的更新和升級(jí)�����,如果對(duì)這些舊產(chǎn)品中的源碼軟件有一個(gè)完整的SBOM��,做起來(lái)就容易多了���。 4. SBOM的構(gòu)建框架 從SBOM生產(chǎn)者的視角出發(fā)����,包括數(shù)據(jù)層��、構(gòu)建層�����、應(yīng)用層三大維度��,涵蓋創(chuàng)建信息�����、軟件信息、組件信息��、文件信息���、代碼片段信息����、生成方式���、生成頻率����、生成深度�、更新校驗(yàn)機(jī)制、軟件資產(chǎn)管理�、軟件漏洞管理����、安全事件響應(yīng)等重點(diǎn)內(nèi)容,從而構(gòu)建出SBOM總體框架模型�,具體如下圖所示。  數(shù)據(jù)層明確了SBOM所應(yīng)具備的最小數(shù)據(jù)要素,具體包括清單創(chuàng)建信息�����、軟件信息���、組件信息���、文件信息、代碼片段信息五部分����,各部分?jǐn)?shù)據(jù)之間存在依賴(lài)或關(guān)聯(lián)關(guān)系。構(gòu)建層明確了所需收集的數(shù)據(jù)要素和SBOM的構(gòu)建方式���,包括生成要求����、生成方式����、生成頻率、生成深度��、更新校驗(yàn)機(jī)制五部分。應(yīng)用層明確基于構(gòu)建完成的SBOM體系以及在組織內(nèi)部的實(shí)際使用場(chǎng)景���,至少包括軟件資產(chǎn)管理��、軟件漏洞管理�����、安全事件響應(yīng)三部分�。 4.1 數(shù)據(jù)層 在數(shù)據(jù)層���,首先要明確SBOM的創(chuàng)建信息����,包括: 清單名稱(chēng) 清單創(chuàng)建者 清單版本號(hào) 清單創(chuàng)建時(shí)間 清單唯一標(biāo)識(shí)符 軟件是SBOM中的描述主體����,其元數(shù)據(jù)包括: 軟件類(lèi)型 軟件來(lái)源 軟件供應(yīng)商信息 軟件名稱(chēng) 軟件版本 軟件下載地址 軟件哈希值/數(shù)字簽名 軟件唯一標(biāo)識(shí)符 軟件許可證信息 軟件校驗(yàn)碼 軟件外部引用 軟件分發(fā)信息 顆粒度變小,SBOM還要盡量描述到組件或子系統(tǒng)�,軟件一般都是由組件或子系統(tǒng)組成的,其元數(shù)據(jù)包括: 組件名稱(chēng) 組件作者 組件類(lèi)型 組件版本 組件唯一標(biāo)識(shí)符 組件校驗(yàn)碼 組件依賴(lài)關(guān)系 組件許可證信息 組件使用方式: SBOM的最小顆粒度是文件�,文件的描述內(nèi)容包括: 文件名稱(chēng) 文件作者 文件類(lèi)型 文件唯一標(biāo)識(shí)符 文件校驗(yàn)碼 文件許可證信息 4.2 構(gòu)建層 SBOM的創(chuàng)建者應(yīng)通過(guò)加密或數(shù)字簽名的方式對(duì)軟件物料清單的真實(shí)性和完整性進(jìn)行保證。SBOM的生成方式包括人工生成和自動(dòng)化生成兩種�����,其中:自動(dòng)化生成應(yīng)明確生成模式�����,包括基于構(gòu)建活動(dòng)生成和基于二進(jìn)制解析���,有源代碼的情況下應(yīng)優(yōu)先采用前者�����;人工生成的方式應(yīng)明確收集階段和收集方法��。 當(dāng)軟件組件以新版本或發(fā)布的形式更新���,應(yīng)創(chuàng)建新的相對(duì)應(yīng)版本的SBOM,包括集成已更新組件或依賴(lài)的組件版本���。特別地����,當(dāng)SBOM創(chuàng)建者更正已有軟件物料清單數(shù)據(jù)中錯(cuò)誤的時(shí)候�,也應(yīng)該在第一時(shí)間發(fā)布新的經(jīng)過(guò)修訂的SBOM�����。SBOM的更新校驗(yàn)機(jī)制同樣包括手動(dòng)校驗(yàn)及自動(dòng)校驗(yàn)兩種方式�,手動(dòng)校驗(yàn)需記錄操作人����、操作時(shí)間、操作結(jié)果等��,而自動(dòng)校驗(yàn)應(yīng)具備校驗(yàn)失敗拒絕更新的機(jī)制�。 SBOM生成深度應(yīng)包含所有主要(頂層)組件,并列出其中包括的直接依賴(lài)��,對(duì)于可以直接獲取到完整依賴(lài)樹(shù)的技術(shù)棧�����,應(yīng)記錄從根節(jié)點(diǎn)到葉子節(jié)點(diǎn)全部深度的清單����。 4.3 應(yīng)用層 從應(yīng)用的視角來(lái)看,通過(guò)對(duì)SBOM的管理���,能夠從組件名稱(chēng)����、組件名稱(chēng)+版本維度看到軟件資產(chǎn)數(shù)量�,能夠從組件出發(fā),溯源目前被哪些服務(wù)在線上使用�����。從安全漏洞出發(fā)�����,通過(guò)對(duì)SBOM的管理�,可以溯源哪些組件被影響,能夠從應(yīng)用維度出發(fā)�����,查看應(yīng)用中的安全漏洞信息���。  基于對(duì)SBOM的管理����,建立安全事件的響應(yīng)機(jī)制尤為重要���,要能夠追蹤漏洞修復(fù)的狀態(tài)����,如線上未修復(fù)、修復(fù)中�����、已修復(fù)����,能夠統(tǒng)計(jì)時(shí)間維度漏洞的產(chǎn)生、修復(fù)趨勢(shì)變化����,能夠統(tǒng)計(jì)不同風(fēng)險(xiǎn)等級(jí)/不同安全類(lèi)型的漏洞占比。在安全維度之外�����,還要支持其他風(fēng)險(xiǎn)維度的信息記錄����,例如支持一次性自動(dòng)化生產(chǎn)/人工生成SBOM后,對(duì)SBOM進(jìn)行更新/追加�,并支持用戶(hù)的自定義查詢(xún)����,如根據(jù)SBOM多風(fēng)險(xiǎn)維度組合過(guò)濾�。 5. SBOM 文件的交付格式 企業(yè)可以通過(guò)各種不同的格式創(chuàng)建和發(fā)布SBOM。對(duì)于一個(gè)想要在其網(wǎng)站發(fā)布 SBOM 的企業(yè)來(lái)說(shuō)�����,HTML 是一個(gè)合理的選擇����。如果 SBOM 中包含了文檔或者源代碼�,那么純文本也許是更好的選項(xiàng)。此外����,還有Markdown、PDF����、CSV等格式可供使用。 除了這些常見(jiàn)的格式外���,還有幾種專(zhuān)門(mén)為交付SBOM而設(shè)計(jì)的格式���,如 SPDX�����,SWID Tags以及Cyclone DX����。 5.1 SPDX SPDX是由 Linux 基金會(huì)運(yùn)營(yíng)的項(xiàng)目�����,旨在標(biāo)準(zhǔn)化企業(yè)共享和使用SBOM中信息的方式�����。SPDX 捕捉了軟件中與溯源��、許可證和安全相關(guān)的數(shù)據(jù)��,如下圖所示:  通俗地說(shuō)��,SPDX提供了一個(gè)通用的許可證列表標(biāo)識(shí)符以及每個(gè)許可證的規(guī)范URL���。該格式支持以下文件類(lèi)型: YAML JSON RDF/XML tag:value的純文本 .xls 5.2 SWID Tags SWID 是一個(gè)標(biāo)準(zhǔn)化的 XML 格式�����,可以識(shí)別軟件產(chǎn)品的組成部分并將其與上下文結(jié)合��。在軟件開(kāi)發(fā)生命周期中���,有4種類(lèi)型的 SWID Tags : Corpus Tags:識(shí)別和描述在安裝前階段的軟件成分�。 Primary Tags:在軟件產(chǎn)品安裝后對(duì)其進(jìn)行識(shí)別和關(guān)聯(lián) Patch Tags:可以識(shí)別和描述補(bǔ)?�。ǘ皇呛诵漠a(chǎn)品本身)�。此外�����,還包含了補(bǔ)丁和其他產(chǎn)品或補(bǔ)丁之間的上下文關(guān)系信息�。 Supplemental Tags:SWID 格式僅允許 tag 創(chuàng)建者修改 corpus、primary和patch tags����。但是 Supplemental Tags 可以讓軟件用戶(hù)及軟件管理工具在本地添加有益的上下文信息,如許可證密鑰以及相關(guān)方的聯(lián)系信息���。 在決定將哪些標(biāo)簽和具體的數(shù)據(jù)元素納入其產(chǎn)品時(shí)���,各企業(yè)有一定程度的靈活性�����。在SWID規(guī)范中��,除了幾個(gè)必需的字段外���,其他的元素和屬性都是可選的。最終�,一個(gè)最低限度的有效和符合要求的標(biāo)簽只需要描述軟件產(chǎn)品(如名稱(chēng)和標(biāo)簽ID)和創(chuàng)建它的少數(shù)實(shí)體元素。 5.3 OWASP CycloneDX CycloneDX 是一個(gè)輕量級(jí)SBOM標(biāo)準(zhǔn)���,旨在用于應(yīng)用安全上下文和供應(yīng)鏈組件分析�����。也就是說(shuō)���,它旨在提供構(gòu)成一個(gè)應(yīng)用程序的軟件組件的關(guān)鍵信息。該標(biāo)準(zhǔn)非常完整����,并且超出了軟件庫(kù)的范圍��,甚至擴(kuò)展到了SaaSBOM��、VEX等標(biāo)準(zhǔn)范圍����。 Cyclone DX 支持以下4種類(lèi)型的數(shù)據(jù): 物料清單元數(shù)據(jù):關(guān)于應(yīng)用/產(chǎn)品本身的信息——供應(yīng)商�����、制造商����、SBOM所面熟的組件以及用于匯編SBOM的任意工具 組件:完整的專(zhuān)利清單及開(kāi)源組件清單,包含許可信息 服務(wù)信息:軟件可能調(diào)用的外部API�、終端URI�����、身份認(rèn)證要求和信任名單 依賴(lài)項(xiàng):包含直接依賴(lài)項(xiàng)和間接依賴(lài)項(xiàng) 在展現(xiàn)方式上����,SBOM的信息可以通過(guò)圖、表格等方式進(jìn)行展現(xiàn)。  6. 如何生成SBOM 有不少的開(kāi)源工具都可以生成SBOM�,而有效的SBOM依賴(lài)軟件成分分析能力和大量知識(shí)數(shù)據(jù)的儲(chǔ)備。 SBOM的生成依賴(lài)軟件成分分析(SCA)技術(shù)����,識(shí)別組件和版本,并輸出對(duì)應(yīng)的層級(jí)依賴(lài)關(guān)系���,其復(fù)雜性在于: 1)要適配不同的編程語(yǔ)言����,而像java和c/c++這樣不同語(yǔ)言的包管理機(jī)制會(huì)有較大差異�; 2)要從源碼、制品�����、二進(jìn)制等不同形態(tài)的軟件產(chǎn)物中解析提取特征�����,這些特征的提取策略依賴(lài)于對(duì)各類(lèi)產(chǎn)物的理解�����。 除了SBOM中的基線字段信息外,漏洞�����、開(kāi)源許可證也可以作為SBOM的附加信息�����,而這樣的數(shù)據(jù)嚴(yán)重地依賴(lài)于云端知識(shí)庫(kù)的積累�。知識(shí)庫(kù)需要實(shí)時(shí)跟蹤當(dāng)前的各種漏洞情報(bào),并由人工運(yùn)營(yíng)加工��;需要采集大量的代碼和軟件信息�,分析依賴(lài)、計(jì)算哈希�����、提取特征等等�����,進(jìn)而加工形成能和SCA工具結(jié)果匹配的特征數(shù)據(jù)��。 6.1 SBOM的生成工具 市場(chǎng)上有很多值得關(guān)注的SBOM生成工具����,包括: Anchore FOSSA Mend Rezilion SPDX SBOM Generator Tern TauruSeer Vigilant Ops 2022年7月,微軟宣布開(kāi)源SBOM生成工具——Salus�,作為一款通用的、經(jīng)過(guò)企業(yè)驗(yàn)證��、構(gòu)建時(shí)(build-time)的 SBOM 生成器����,SBOM 適用于包括 Windows、Linux 和 Mac 在內(nèi)的平臺(tái)�����,并且采用了標(biāo)準(zhǔn)的軟件包數(shù)據(jù)交換(SPDX)格式����。  Salus 能夠輕松集成到軟件的構(gòu)建工作流程中,并通過(guò)組件自動(dòng)檢測(cè) NPM�����、NuGet��、PyPI�����、CocoaPods、Maven���、Golang�����、Rust Crates�����、RubyGems����、容器內(nèi)的 Linux 包���、Gradle���、Ivy、以及 GitHub 等公共平臺(tái)上的存儲(chǔ)�����。 Salus 生成的 SBOM�����,包含了基于 SPDX 規(guī)范的四個(gè)主要部分��。 文檔創(chuàng)建信息:例如軟件名稱(chēng)�����、SPDX 版本 / 許可證���、文檔創(chuàng)建者����、創(chuàng)建時(shí)間等��。 文件部分:組成軟件的文件列表����,每個(gè)文件都包含有一些屬性、以及 SHA-1 / SHA-256 內(nèi)容的哈希值�。 軟件包部分:構(gòu)建軟件時(shí)使用的包列表,每個(gè)包都具有名稱(chēng)�����、版本、供應(yīng)商��、哈希值����、包 URL(purl)、軟件標(biāo)識(shí)符等屬性���。 關(guān)系:SBOM 不同元素之間的關(guān)系列表�,比如文件和包����。 值得一提的是,Salus 還可參考其他 SBOM 文檔來(lái)捕獲完整的依賴(lài)關(guān)系樹(shù)�。 回到本文的開(kāi)始,國(guó)內(nèi)的懸鏡安全在滿足以上SBOM能力需求的基礎(chǔ)上��,也在開(kāi)源OpenSCA并提供了公開(kāi)SBOM生成工具�����,方便軟件生產(chǎn)商自動(dòng)生成SBOM清單。 6.2 SBOM的工具選擇與治理 市場(chǎng)上許多SBOM工具一般捆綁在代碼安全掃描程序和其他類(lèi)似程序上���,用戶(hù)選擇起來(lái)比較困難��,Gartner建議使用提供以下功能的工具: 在構(gòu)建過(guò)程中創(chuàng)建SBOM 分析源代碼和二進(jìn)制文件(如容器鏡像) 為這些工件生成SBOM 編輯SBOM 以人類(lèi)可讀的格式查看、比較�����、導(dǎo)入和驗(yàn)證SBOM 將SBOM內(nèi)容從一種格式或文件類(lèi)型合并和翻譯成另一種格式或文件類(lèi)型����。 支持通過(guò)API和庫(kù)在其他工具中使用SBOM操作。 對(duì)于企業(yè)的內(nèi)部治理而言�,單點(diǎn)的工具往往是不足夠的,還需要有管理平臺(tái)輸出全局的風(fēng)險(xiǎn)視圖�,提供了管理和控制能力。例如�,記錄每一次的SBOM變化情況,從而能夠展現(xiàn)不同時(shí)間點(diǎn)的風(fēng)險(xiǎn)指標(biāo)情況����;要能夠基于項(xiàng)目、資產(chǎn)等不同維度對(duì)結(jié)果進(jìn)行聚合����,便于對(duì)總體風(fēng)險(xiǎn)進(jìn)行梳理���。基本的管理平臺(tái)以SBOM和知識(shí)庫(kù)作為核心數(shù)據(jù)���,控制模塊通過(guò)和制品庫(kù)�、代碼庫(kù)等的聯(lián)動(dòng)����,進(jìn)行數(shù)據(jù)收集和策略下發(fā),出現(xiàn)問(wèn)題時(shí)幫助企業(yè)及時(shí)止損����。決策模塊對(duì)黑白名單進(jìn)行維護(hù)并對(duì)阻斷等策略進(jìn)行管理,管理模塊提供SBOM查詢(xún)和相關(guān)管理指標(biāo)看板的能力��。 從企業(yè)角色類(lèi)型來(lái)看��,對(duì)SBOM有不同的使用需求: 項(xiàng)目團(tuán)隊(duì):用于管理軟件資產(chǎn)�,在開(kāi)發(fā)早期即可評(píng)估安全風(fēng)險(xiǎn),篩選適合的組件/軟件���,并持續(xù)更新SBOM��; 安全團(tuán)隊(duì):通過(guò)提交的SBOM分析軟件風(fēng)險(xiǎn)���,并通過(guò)統(tǒng)一管理進(jìn)行持續(xù)監(jiān)控��,及時(shí)響應(yīng)安全事件�; 法務(wù)團(tuán)隊(duì):核查軟件授權(quán)問(wèn)題�,避免后續(xù)公司業(yè)務(wù)自身權(quán)益受到損害。  當(dāng)SBOM被重新定義后��,SBOM具有更高的透明度����、具體來(lái)源和傳播效率��,企業(yè)在一定條件下通過(guò)SBOM即可識(shí)別和修復(fù)漏洞風(fēng)險(xiǎn)���,而且還可以指導(dǎo)開(kāi)發(fā)人員或供應(yīng)商在整個(gè)SDLC中進(jìn)行應(yīng)用安全軟件開(kāi)發(fā)實(shí)踐�����。 7. 一句話小結(jié) 軟件物料清單 (SBOM) 相當(dāng)于軟件嵌套的清單�����,是構(gòu)成軟件組件的成分清單�,正在成為確保軟件供應(yīng)鏈健康的重要組成部分,然而����,僅僅發(fā)布 SBOM 是不夠的,還需要積極地使用它們�����。
|
