SBOM应该是软件供应链中的安全主食

最新推荐文章于 2024-07-24 06:50:32 发布
最新推荐文章于 2024-07-24 06:50:32 发布
阅读量1.1w 收藏 1
点赞数 1
分类专栏: 网络研究观 文章标签: 安全 log4j 科技 软件 网络安全
本文链接:https://blog.csdn.net/qq_29607687/article/details/129371951
版权

当谈到软件材料清单(SBOM)时,通常的类比是食品包装上的成分列表,它让消费者知道他们将要吃的薯片中有什么。 

美国机构有90天时间创建所有软件的清单

同样,SBOM是一个软件中组件的清单,在应用程序是来自多个来源的代码的集合的时代,这是一个至关重要的工具,许多代码来自组织的开发团队之外。

当谈到SBOM时,它与食品上的营养标签一样重要,因为这种风险不是对你的身体健康,而是对你的业务的风险。

当您使用软件时,您的业务可能面临的风险是,您不了解软件的组成。当这种情况发生时,你……将自己暴露在一个你无法控制的弱点之下。如果你不了解这一点,你就无法采取预防措施来确保自己不会过度暴露。

这就是为什么在过去几年中,随着威胁级别的增加,SBOM已经成为不断扩大的软件供应链管理的核心。

通过开源软件和可重用软件组件的日益增长的使用,来自多个来源的贡献,加速的代码发布速度,以及持续集成和持续交付(CI/CD)管道,现代开发已经变得更快和更复杂。

随着软件供应链变得越来越复杂,关键是要知道你间接利用什么开源作为第三方库、服务、API或工具的一部分。 

不法分子知道,通过在开发过程中的任何一点注入恶意代码或利用组件中的漏洞,他们可以向上游移动并感染多个系统,正如2020年的网络安全管理软件产品漏洞和Log4j漏洞的滥用。

需要知道 SBOM也是拜登政府制定并于本周发布的国家网络安全计划的一个关键点。

他们不仅告诉组织他们引入的软件是由什么组件组成的,还告诉组织里面有什么代码。 

SBOM确保你不仅知道软件中的成分,还知道这些成分的成分,有时被称为传递依赖关系。

在开源中,许多包都在调用其他包,您可能知道也可能不知道您正在使用这些包,而SBOM可以帮助您完全理解这些关系。

2021年12月发现的Apache Log4j缺陷在科技界引起了轩然大波,因为这种广泛使用的日志工具正被广泛利用,通过单次注入恶意代码来危害易受攻击的系统。 

它的应用如此广泛,以至于触及了大多数组织,其中许多组织并不知道自己受到了影响。

在漏洞曝光的几周内,有报告称每小时有1000万次Log4j漏洞利用尝试。

Log4j被用于绝大多数软件中,我们对SBOM有需求。当Log4j中的缺陷被发现时,我们所有人都立即暴露于该漏洞之下。

Log4j将一切都置于清晰的焦点中。问题已经存在一段时间了。

SBOM的概念相对较新。它于2018年与美国农业部下属的国家电信和信息管理局一起出现,三年后发布了标准。

拜登总统在2021年5月的行政命令中呼吁联邦政府在网络安全管理软件产品和Log4j事件后改善其IT安全,这两起事件都影响了政府机构。

与通常发生的情况一样,组织将SBOM从一个不错的功能提升为一个半强制性的解决方案,现在大多数政府机构和大型企业都在评估它。

一个挑战是实现和管理SBOM是高度手动的,这对管理员和开发人员来说是个坏消息。当谈到软件供应链安全时,一个持续的紧张是确保安全需求不会阻碍现代软件开发的增长速度。

自动化是关键 

这就是SBOM流程自动化如此重要的原因。NIST的标准包括多个元素,从使用的软件组件及其供应商到版本号和对组件库的访问。

必须根据发布级别、发现的潜在威胁和确定的风险来评估版本级别。

从开源操作系统到内部开发的应用,再到第三方‘收缩包装’堆栈,大型应用的展开充满了上下文挑战、清点方法和手动验证,所有这些都容易出错。 

虽然识别和报告问题的过程是成文的,但它没有解决手动维护此类清单并一致验证其内容的问题。 

必须将自动化纳入流程的每个步骤,从生成和发布SBOM到接收它们,然后将漏洞补救纳入他们当前的应用程序安全计划,而不必采用新的工作流程。

如何处理SBOM还有其他的考虑。SBOM提供了大量信息,但组织需要决定如何使用这些信息。

SBOM是一个很方便的缩写词,用来指代更广泛的软件供应链问题。 

它们也是更大的供应链安全技术缓存的一部分,例如SLSA(软件工件的供应链级别),这是一个用于确保整个供应链中软件工件完整性的框架。

它诞生于一个内部谷歌工具,现在是一个行业项目,包括英特尔、VMware、Linux基金会和云本地计算基金会等组织。

SBOM本身并不是灵丹妙药。

我们必须了解他们擅长什么,不太有用的地方。他们擅长帮助你理解软件中的组件。它们对于提高这些组件的安全性来说用处不大。

有几个关键的标准SBOM格式–软件分组数据交换(SPDX)、CycloneDX和软件识别(SWID)标记。 

现在需要的是一个安全和集中的漏洞交流平台,公司可以在这里分享关于漏洞的信息。

拥有SBOM的数据是有用的,但是如果一个漏洞被发现,关于它的交流仍然是点对点的,信息需要更快更广泛地共享。 

另一个新出现的问题是SBOM等意味着维护大多数应用程序中使用的开源软件的人要做更多的工作。据称,大多数维护人员60%是无偿的,基本上是志愿者。 

他们通常缺乏一致性,更没有动机去处理安全开发实践的长清单。在像影响网络安全管理软件产品和Log4j这样的高调漏洞之后,政府和行业越来越关注网络安全,在这种背景下,对这些志愿维护者的需求呈指数级增长。 

提高安全性需要工具(如SBOM)和人员。是时候开始向开源维护者支付报酬了,就像公司向其他负责软件安全的人支付报酬一样。 

与许多用于供应链安全的工具一样,SBOM仍然相对较新,需要不断完善。

鉴于不法分子想方设法攻击供应链的速度,成熟越快越好。

SBOM还有一段路要走,但这是一个很好的解决方案。有个标准也不错,没有标准就是个问题。

网络研究观
关注
专栏目录
软件质量】软件供应链安全SBOM
付费专栏已不再维护,请勿购买
02-10 561
本文浅谈软件供应链安全SBOM
「势说新语」SBOM 在企业软件供应链管理的重要性—安全漏洞篇
Sectrend的博客
06-17 1211
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链,才能实现漏洞的早发现、早跟踪、早处理。在流程的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。...
软件供应链安全基础知识(SBOM)--开发安全
专注网络安全,聚焦数据安全。
11-01 2323
首先我先讲讲一个案例,公司之间的合作作为产品经理参与方案整合是一个很正常的事情,但是做一个正在快速发展的公司和一个已经上市的公司产品经理对接,是否可以想象下不是位置不对等导致交流不通畅(解释下不通畅不是不好交流的意思),而是在产品管理经验以及材料补位的工作上欠缺,比如一个标准的产品材料list,相对照拿出来对比,完全不同,这是大于号小于号的问题。间就提到关于SBOM清单的问题,我当然不是很理解,也在被动的接受需求快速响应这些我认为是研发要给的东东,作为产品借口人自然开始对接了。了解工艺的人会更加清楚。
软件供应链安全:深度解析软件物料清单(SBOM)生成与管理
java专栏
05-17 540
SBOM不仅是软件供应链透明度的基石,也是强化安全性、促进合规的重要工具。通过上述深度解析与实例演示,希望您能掌握SBOM的生成与管理技巧,为您的软件项目筑起一道坚固的安全防线。
网络安全常用术语解读 」SBOM主流格式SPDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-25 2582
SPDX格式是一种用于描述软件组件的规范,提供了一种标准化的方法来描述软件组件的元数据,包括其许可证、依赖项和其他属性。随着开源和共享软件开发环境的普及,SPDX格式得到了广泛的应用。通过SPDX格式,组织可以更好地了解和管理软件供应链,降低合规风险,提高软件质量,加强安全性。SPDX作为一个开放的标准格式,为软件行业的合作和创新提供了重要的基础。
软件物料清单SBOM都没有,何谈软件供应链安全
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-17 1950
该指南旨在帮助组织快速启动其 SBOM 项目,并有效管理与开源软件相关的风险。开源软件管理;创建和维护公司内部安全的开源存储库;维护、支持和危机管理;SBOM 创建、验证和制品。
信通院郭雪:软件供应链安全标准体系建设与洞察
Anprou的博客
10-27 2206
悬镜安全出品并主办了ISC 2022软件供应链安全治理与运营论坛,特邀国信通院云计算与大数据研究所开源和软件安全部副主任郭雪发表主题演讲。
保障软件供应链安全SBOM推荐实践指南》2023年11月发布译文
12-18
总之,《SBOM推荐实践指南》强调了SBOM在保障软件供应链安全的作用,为软件开发商和供应商提供了具体的操作指南,以提升整个行业的安全水平。通过遵循这些实践,组织可以更好地防御网络攻击,保护用户和企业的利益...
软件供应链安全治理与运营白皮书
02-02
4. 加强软件供应链上游的管理,特别是对开源软件的使用,推广代码疫苗、软件成分分析(SCA)、区块链和软件_bill_of_materials(SBOM)等新技术和标准,以提升软件供应链安全性。 白皮书强调,随着人工智能和自动...
SBOM实践指南》:强化软件供应链安全
ESF是一个由私营企业、学术界和政府合作的项目,旨在应对网络安全挑战,特别是软件供应链安全问题。ESF的软件供应链工作小组制定了实践指南,帮助所有相关方遵循安全最佳实践。 **建议实践** 该指南提供的建议...
美国商务部发布软件物料清单 (SBOM) 的最小元素(
smellycat000的专栏
12-30 656
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成...
2022年有多少人使用微信?
热门推荐
网络研究观
12-15 2万+
预计到 2025 年将达到 25 亿用户。
微信各平台历史版本含下载地址大全( 安卓 | Windows | MAC )
最新发布
网络研究观
07-24 2万+
微信各平台历史版本含下载地址大全
ChatGPT 存在很大的隐私问题
网络研究观
04-08 2万+
数据最终如何进入 GPT-4 之类的东西,存在这种分层和复杂的供应链,从来没有真正设计或默认的任何类型的数据保护。
如何一键关闭win安全心(Windows Defender )
网络研究观
05-14 1万+
用于设置 Windwos Defender 状态(开关),和卸载 Windows Defender 相关组件。
2022年统计的27个网络安全漏洞数据信息
网络研究观
06-25 1万+
在这篇文章,我们汇总了进入 2022 年需要注意的主要网络安全漏洞统计数据和信息。
大规模 ESXiArgs 勒索软件攻击以全球 VMware ESXi 服务器为目标
网络研究观
02-08 1万+
攻击者利用 VMware ESXi 服务器一个已有两年之久的远程代码执行漏洞未打补丁,以部署新的 ESXiArgs 勒索软件
GitHub要求所有用户在2023年底前启用双因素身份验证
网络研究观
12-17 1万+
到了截止日期后,用户将开始在 GitHub 上看到启用 2FA 的提示,再持续一周,如果他们不采取行动,他们将被阻止访问 GitHub 功能。
CPU-X 是 Linux 的 CPU-Z 的替代品
网络研究观
10-03 1万+
如果你想要在 Linux 上使用类似于 CPU-Z 的东西,那么你很幸运。GitHub 上名为X0rg的开发人员为 Linux 创建了一个名为 CPU-X 的 CPU-Z 克隆。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值