网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
JupiterOne的首席信息安全官Sounil Yu近期公开讨论了软件物料清单(SBOM)在确保软件供应链安全方面转变思维的必要性。
去年SolarWinds攻击事件发生之后,美国总统拜登5月发布了一项行政命令,主张强制实施软件物料清单(SBOM)策略,以提高软件透明度并应对各种类型的供应链攻击。
关于软件材料清单(SBOM)
软件材料清单(SBOM)是一种机器可读的文档,可以提供用于构建软件产品(包括开源软件)的组件相关记录信息。作为一名安全专业人员,关于软件材料清单(SBOM)的授权命令绝对是一个好消息,因为此前所有组织和企业在软件的购买和使用方面透明度并不高,而该政策一出,意味着能够给我们提供该方面更大的透明度。
自该《行政命令》颁布以来,软件制造商和买家一直在试图弄清楚软件物料清单(SBOM)如何支持和保证供应链安全。毫无疑问,许多人都认为这是一个令人头痛的问题,但也有很多人认为这是一个明智的举措和有效的安全保障。我们在软件供应链方面的部分问题是我们对软件供应链过于信任,而我们已经了解了零信任安全模型的好处了,并将此概念应用于我们的网络和终端节点之上,但我们还没有完全弄清楚如何将这一安全模型应用到我们的软件供应链之中。
我们之所以会需要软件材料清单(SBOM)这样的东西,是因为我们并不信任我们的软件供应链,因此我们还需要这方面的高透明度,而软件材料清单(SBOM)正好可以为我们提供这种透明度,并允许我们向软件供应链的零信任方法迈进。
牛津大学著名信托专家兼讲师雷切尔·博茨曼(Rachel Botsman)这样描述了这个问题:“我曾经听到过一种说法,即通过所谓的透明度来建立更多的信任,这是一种错误的方法,也是一种常见的说法。但如果你想一切都边得更加透明,那么你此时实际上就已经降低了信任度。通过提升透明度,你也就减少了对信任的需要。”
毫无疑问,软件材料清单(SBOM)可以给我们提供更大的透明度,并且允许我们在软件供应链中采用更多的零信任方法。
软件材料清单(SBOM)允许我们在面对未知事物时有更多的信心
现在,我们无法在一个真正保持零信任水平的环境中高效运作,因此我们需要使用一些方法来构建我们的信任体系。雷切尔·博茨曼(Rachel Botsman)将信任定义为“与未知事物的自信关系”。在我们的软件供应链中有很多未知的事物,但软件材料清单(SBOM)也提供了一种在未知事物中获得并建立信任的方法。
具体地说,我们可以认为大规模产出软件材料清单(SBOM)的能力与软件开发实践的成熟度和现代化程度是高度相关的。如果一个人的软件开发实践不成熟或使用的是过时的技术,那么创建软件材料清单(SBOM)通常来说就会比较困难。
如果我们去要求软件供应商来制作软件材料清单(SBOM)的话,似乎困难会更大,这样不得不让我怀疑他们的软件开发实践策略,而且我对这种与软件供应商相关的未知因素也没什么信心。
无论他们是否愿意实际向我展示他们的软件材料清单(SBOM),但我只要知道他们可以轻松地生产软件材料清单(SBOM),我就可以相信他们的软件开发实践是现代化的或足够成熟的,并且足以应对各种软件漏洞或软件相关的常见安全问题。
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
2018
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
