软件供应链安全基础知识(SBOM)--开发安全

最新推荐文章于 2024-05-17 07:53:24 发布
最新推荐文章于 2024-05-17 07:53:24 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 经历经验 看观分享 文章标签: 安全 安全威胁分析 网络安全 svn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jasonzhang345/article/details/127625340
版权

1、BOM是啥?

        物料清单(Bill of Material,Bom),采用计算机辅助企业生产管理,首先要使计算机能够读出企业所制造的产品构成和所有要涉及的物料,为了便于计算机识别,必须把用图示表达的产品结构转化成某种数据格式,这种以数据格式来描述产品结构的文件就是物料清单,即是Bom。它是定义产品结构的技术文件,因此,它又称为产品结构表或产品结构树。在某些工业领域,可能称为“配方”、“要素表”或其它名称。(这个百度上已有很多解释了)

        按照用途又可以分为:EBOM、PBOM、MBOM三大类,并细分出了工程BOM、工艺、设计、制造、客户、维修 BOM六种。了解工艺的人会更加清楚

2、SBOM是啥?

        软件物料清单。当前不仅制造业意识到物料清单的必要性,软件行业为保障软件安全性也逐步开始采用 SBOM,以提高软件供应链的透明度,识别软件组件。

        从国外来看美国欧盟等国家已经在有相关的供应链政策发布,并且美国已经率先将供应链安全上升至国家战略层面,从2008年以颁布多个供应链风险管控体系,控制国家安全。

        从目前软件研发行业来看,开源也是大势所趋,在各行各业的代码库中开源代码数量占比居高不下,不容忽视企业,对开源软件的治理是不可避免的,并且需要重点关注数据安全风险,合规和知识产权风险运维和管理风险三大类。从软件系统的组成成分来看,国内现代的程序大部分是来源于开源软件组合,而SBOM可以表示出应用程序中所包含的软件组件,包括开源的专有的或第三方,并且能详细说明其来源许可以及安全属性。从软件的关联关系来看,一个软件系统的组成࿰

最低0.47元/天 解锁文章
安全壹壹肆
关注
专栏目录
基于SBOM软件安全治理实践
weixin_70923796的博客
06-09 73
b)监控组件的漏洞。SBOM不仅可以生成软件的成分清单,还可以提供清晰的组件依赖关系图,帮助挖掘出原先难以发现的间接依赖组件,便于规范组件的评估和使用,在软件的运维过程中,也更有助于对软件的管理和维护,为各项运维操作提供评估参考和依据,降低在软件变更或升级时的安全风险。可以根据具体的功能需求选取几款可以满足要求的组件作为候选,然后结合软件的资产管理,依据备选组件的SBOM对组件的安全性进行分析和评估,最后再根据设置的安全基线和组件黑白名单挑选出符合要求的组件作为最终所使用的组件,保证所选组件合规、安全
SBOM应该是软件供应链中的安全主食
热门推荐
网络研究观
03-07 1万+
SBOM是一个软件中组件的清单,在应用程序是来自多个来源的代码的集合的时代,这是一个至关重要的工具,许多代码来自组织的开发团队之外。
「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇
Sectrend的博客
06-17 1188
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。...
软件供应链的基础:SBOM
qzt961003的博客
08-03 210
供应链攻击是针对应用程序组件的供应商而不是应用程序本身的恶意攻击。软件供应链类似于物理供应链。当你购买 iPhone 时,你看到的只是成品。在最终产品的背后,是一个由零部件供应商组成的复杂网络,这些供应商随后被组装在一起,生产 iPhone。来自日本公司的显示器和相机镜头,来自亚利桑那州的 CPU,来自圣地亚哥的调制解调器,来自加拿大矿山的锂离子电池;所有这些部件在深圳组装工厂组装成最终产品,然后直接运到你的家门口。
软件供应链安全:深度解析软件物料清单(SBOM)生成与管理
最新发布
java专栏
05-17 487
SBOM不仅是软件供应链透明度的基石,也是强化安全性、促进合规的重要工具。通过上述深度解析与实例演示,希望您能掌握SBOM的生成与管理技巧,为您的软件项目筑起一道坚固的安全防线。
SBOM:缓解软件供应链风险的关键
分享 GPU 管理与大模型推理相关技术实践
09-30 446
就像食品的成分列表一样,SBOM 就是软件中组件和服务的列表。SBOM 类似于制造和产品开发中的供应链文档。在产品开发供应链中,制造商使用特定供应商的零件,安装组件来构建产品,然后跟踪产品从制造商到购买它的零售店的旅行历史。与此类似,网络环境中的服务器机器是使用交付给制造厂的供应商部件构建的。服务器构建完成,然后从一个位置移动到另一个位置,直到它到达安装它的数据中心。这个过程中的每一步都是供应链的一部分。
十大创新方向发布 悬镜安全强势领跑软件供应链安全开发安全
Anprou的博客
10-27 544
数说安全发布《2022年中国网络安全十大创新方向》。
信通院郭雪:软件供应链安全标准体系建设与洞察
Anprou的博客
10-27 2155
悬镜安全出品并主办了ISC 2022软件供应链安全治理与运营论坛,特邀中国信通院云计算与大数据研究所开源和软件安全部副主任郭雪发表主题演讲。
浅谈软件供应链安全治理与应用实践
Anprou的博客
08-30 3160
随着容器、微服务等新技术日新月异,开源软件成为业界主流形态,软件行业快速发展。但同时,软件供应链也越来越趋于复杂化和多样化,软件供应链安全风险不断加剧,针对软件供应链薄弱环节的网络攻击随之增加,软件供应链成为影响软件安全的关键因素之一。近年来,全球针对软件供应链安全事件频发,影响巨大,软件供应链安全已然成为一个全球性问题。全面、高效地保障软件供应链安全对于我国软件行业发展、数字化进程推进具有重要意义。 近日,在由中国信通院指导、悬镜安全主办的中国首届DevSecOps敏捷安全大会(DSO 2021)现
OSCS-软件供应链安全威胁与业界解决方案
OSCS开源安全社区
06-02 1948
提到这个话题,其实它的背后是整个软件的发展,以及整个开源生态的发展,包括像云原生以及低代码这些新技术的发展,我们可以发现软件开发越来越像是一个在搭积木的过程。这些积木,其实就是这些开源组件、开源软件。有机构调研显示说,在2015年到2019年之间,整个开源代码在项目代码里面使用的占比是翻了一倍的,直到今天,它大概是到了78%的一个水平。从上边的这一组数据来看,每个项目里面引入的开源组件可能会超过一百多个,这里面有28%都是有漏洞缺陷的。同时呢,这些有漏洞的组件,它不止存在一个漏洞,平均是两个三个漏洞,
cyclonedx-node-module:从Node.js项目创建CycloneDX软件物料清单(SBOM
04-29
CycloneDX Node.js模块 用于Node.js的CycloneDX模块创建一个有效的CycloneDX软件物料清单(SBOM),其中包含所有项目依赖项的汇总。 CycloneDX是一种轻量级的SBOM规范,易于创建,人和机器可读且易于解析。 要求 Node.js v8.0.0或更高版本 用法 正在安装 npm install -g @cyclonedx/bom 获得帮助 $ cyclonedx-bom -h Usage: cyclonedx-bom [OPTIONS] [path] Creates CycloneDX Software Bill-of-Materials (SBOM) from Node.js projects Options: -v, --version output the version number -a, --appe
SBOM算法
11-09
SBOM 模式匹配算法
守护软件供应链安全:国产软件BinSearch的最佳实践
qzt961003的博客
06-17 1150
在今天,企业软件项目越来越依赖于第三方和开源组件。这些组件由不受雇于开发主要软件的组织的个人创建和维护,他们不一定使用与组织相同的安全策略。这将会带来潜在的安全风险,因为这些策略之间的差异或不一致可能会导致一些危险的漏洞被忽视。...
SBOM(Software Bill of Materials,软件物料清单)
ejinxian的专栏
07-15 1032
Salus能够自动检测NPM、NuGet、PyPI、CocoaPods、Maven、Golang、RustCrates、RubyGems、容器内的Linux软件包、Gradle、Ivy和GitHub公共仓库。除此之外,Salus还可以参考其他SBOM文件,以获取更加完整的依赖关系。微软将Salus定位为「通用的、经过企业验证的SBOM生成器」,可以轻松集成到软件构建的工作流程中。微软开发的这个工具名为。...
网络安全常用术语解读 」SBOM主流格式SPDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-25 2335
SPDX格式是一种用于描述软件组件的规范,提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。随着开源和共享软件开发环境的普及,SPDX格式得到了广泛的应用。通过SPDX格式,组织可以更好地了解和管理软件供应链,降低合规风险,提高软件质量,加强安全性。SPDX作为一个开放的标准格式,为软件行业的合作和创新提供了重要的基础。
软件质量】软件供应链安全SBOM
付费专栏已不再维护,请勿购买
02-10 550
本文浅谈软件供应链安全SBOM
SBOM介绍
weixin_51928869的博客
04-15 2501
介绍软件物料清单(sbom)相关规范和示例
SBOM是什么
m0_72410588的博客
05-17 1614
本文介绍了软件构建材料的开放性标准 - SBOM的相关知识。SBOM标准的引入可以帮助企业降低对于软件供应链的风险,并提高软件安全性。而SBOM算法则是实现SBOM标准的重要手段之一,它可以自动化地生成软件构建材料清单,大大提高了软件供应链安全的效率和质量。
14 条策略助力企业构建更安全软件供应链
murphysec的博客
03-02 297
每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值