构建开源供应链安全的软件物料清单(SBOM)

最新推荐文章于 2024-05-27 09:35:01 发布
最新推荐文章于 2024-05-27 09:35:01 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: DevSecOps分享 开源 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/125671689
版权

目录

一、SBOM概述

1.什么是SBOM

2.为什么需要SBOM

3.什么是CycloneDX

二、构建SBOM的必要性

1.安全要求

2.合规要求

3.格式要求

三、SPDX是什么?

四、SBOM能带给我什么?

五、如何捍卫开源软件供应链安全?

今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单(SBOM)组件库,但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。

软件供应链安全问题已经日益成为企业和政府面临的一项重大难题,根据ENISA(欧盟网络安全局)发布的一份报告估计,2021年软件供应链攻击次数增加了400%。

如今开发人员大量使用开源组件,因此导致了风险因素的增加。清晰的SBOM关乎到开发人员的安全和法律意识,以及随后产生的业务问题。

在深入讨论之前,我们先来了解以下SBOM基础知识。

一、SBOM概述

1.什么是SBOM

SBOM(软件物料清单)是企业使用的所有软件组件的完整列表。SBOM通常由第三方开源库、供应商提供的软件包和企业自己编写的专有软件构成。

2.为什么需要SBOM

SBOM本质上是在应用程序中使用的所有软件组件的清单。没有它,企业就无法看到正在构建或使用的软件相关的许可证和安全风险。维护一个符合SBOM格式的最新清单对于跟上敏捷开发的步伐至关重要。因为在现代软件快速开发的过程中,组件及其版本正在迅速变化。

3.什么是CycloneDX

OWASP CycloneDX是一个常用的SBOM标准,用于应用程序安全环境和供应链组件分析,它提供了所有第一方和第三方软件组成的清单。该标准非常完整,并且超出了软件库的范围,甚至扩展到了SaaSBOM、VEX等标准范围。CycloneDX是一个Apache2

最低0.47元/天 解锁文章
GitMore
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
保障软件供应安全SBOM推荐实践指南》2023年11月发布译文
12-18
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应安全SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件...
软件供应安全治理与运营白皮书
02-02
4. 加强软件供应链上游的管理,特别是对开源软件的使用,推广代码疫苗、软件成分分析(SCA)、区块链和软件_bill_of_materials(SBOM)等新技术和标准,以提升软件供应链的安全性。 白皮书强调,随着人工智能和自动...
如何在软件项目中生成物料清单SBOM
weixin_61856963的博客
04-26 1702
从生成文件内容量看, CycloneDX>SPDX>SWID。CycloneDX:4178行;277KB。SPDX:1389行;135KB。SWID:34行;2KB。SWID插件默认只生成软件包的基本信息,不生成依赖组件的详细信息。SPDX插件默认能够生成软件包和依赖组件的详细信息。此外能够记录源文件基本信息(hasFile)、许可证信息等。CycloneDX插件默认能够生成软件包和依赖组件的详细信息。
「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-03 1491
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。
推荐开源项目:CycloneDX Maven 插件 —— 轻量级软件物料清单生成器
最新发布
gitblog_00099的博客
05-27 372
推荐开源项目:CycloneDX Maven 插件 —— 轻量级软件物料清单生成器 项目地址:https://gitcode.com/CycloneDX/cyclonedx-maven-plugin 在现代软件开发中,管理和跟踪依赖关系变得越来越重要。为此,我们向您推荐一款强大的开源工具——CycloneDX Maven 插件。这款插件能够自动生成符合CycloneDX标准的软件物料清单SBOM...
SPDX规范详解
phmatthaus的专栏
08-15 3105
SPDX规范详解
python环境下的sbom管理工具 cyclonedx-bom
LCY133的博客
07-11 634
这里指定了requirements.txt和格式为json,生成file.json为bom。介绍了多种工具,适用于各种语言的,此为python支持的版本,
关于软件物料清单SBOM),你所需要了解的一切
分享平台工程、应用部署的最佳实践
11-15 1136
在此前的多篇文章中,我们已经详细地介绍了软件物料清单SBOM)对于保障软件供应安全的重要性以及一些注意事项。在本文中,我们将会更深入地介绍SBOM
Python库 | cyclonedx_python_lib-0.11.0-py3-none-any.whl
03-28
资源分类:Python库 所属语言:Python 资源全名:cyclonedx_python_lib-0.11.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
了解 SBOM (软件物料清单)
网络研究观
12-19 3580
预测到 2025 年,60% 的组织将把 SBOM 纳入其安全系统。
sig-security-sbom:SIG安全-软件物料清单
01-30
标题中的“sig-security-sbom”指的是开源社区Special Interest Group(SIG)中关于安全软件物料清单(Software Bill of Materials,简称SBOM)。SIG是开源项目中用来组织和讨论特定领域问题的小组,而安全SIG则...
spdx-licenses:用于处理SPDX许可证列表和验证许可证的工具
02-25
作曲家/ spdx许可证 SPDX(软件包数据交换)许可证列表和验证库。 最初是作为一部分编写的,现在已提取并作为独立的库提供。 安装 使用以下命令安装最新版本: $ composer require composer/spdx-licenses 基本用法 <?php use Composer \ Spdx \ SpdxLicenses ; $ licenses = new SpdxLicenses (); // get a license by identifier $ licenses -> getLicenseByIdentifier ( 'MIT' ); // get a license exception by identifier $ licenses -> getExceptionByIdentifier ( 'Autoconf-exception-3.0' ); //
cyclonedx-core-java:用于创建和验证BOM的CycloneDX SBOM模型和实用程序
04-09
CycloneDX Core(Java) CycloneDX核心模块提供了SBOM的模型表示以及用于帮助创建,验证和解析SBOM的实用程序。 CycloneDX是一种轻量级的软件物料清单SBOM)规范,旨在用于应用程序安全性上下文和供应链组件分析。 Maven用法 < dependency> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-core-java</ artifactId> < version>4.1.1</ version> </ dependency> CycloneDX模式支持 下表提供有关此节点模块的版本,支持的CycloneDX模式版本以及输出格式选项的信息。 使用该库的最新可能版本,该版本与目标系统支持的CycloneDX版本兼容。 版本 模式版本 格式
SBOM算法
11-09
SBOM 模式匹配算法
spdx-online-tools:提供在线SPDX工具的网站的来源
04-01
spdx-在线工具 提供在线SPDX工具的网站的来源。 该工具提供了一个简单的多合一网站,可以上载和解析SPDX文档以进行验证,比较和转换以及搜索SPDX许可证列表。 您可以找到有关该工具工作的更多信息。 特征 上传和解析SPDX文档 验证SPDX文档 比较多个SPDX Rdf文件 将一种SPDX格式转换为另一种格式 将许可证文本与SPDX列出的许可证进行比较 要求(Linux / Debian / Ubuntu) Sun / Oracle JDK / JRE Variant或OpenJDK。 Python 2.6及更高版本。 Debian / Ubuntu用户必须先安装g ++和python-dev: sudo apt-get install g++ python-dev 要求(Windows) Windows用户需要Python安装和C ++编译器: 安装Python 2.7
cyclonedx-gradle-plugin:从Gradle项目创建CycloneDX软件物料清单SBOM
02-04
CycloneDX Gradle插件CycloneDX Gradle插件创建一个项目的所有直接和传递依赖项的集合,并从结果中创建有效的CycloneDX物料清单文档。 CycloneDX是一种轻量级的BOM规范,易于创建,易于阅读且易于解析。用法执行: ...
cyclonedx-gomod:从Go模块创建CycloneDX软件物料清单SBOM
04-02
cyclonedx-gomod从Go模块创建CycloneDX软件物料清单SBOM) 安装 预构建的二进制文件在页面上可用。 从来源 go install github.com/CycloneDX/cyclonedx-gomod@latest 从源代码构建需要Go 1.16或更高版本。 兼容性...
「 网络安全常用术语解读 」软件物料清单SBOM详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-24 1351
软件物料清单(Software Bill of Materials,SBOM)是软件成分信息的集合,SBOM文件中记录了软件产品或服务所使用组件、库、框架的清单,用于描述软件构建过程中使用的所有组件及其关系,以实现软件供应链的自动化识别与管理的需求。SBOM 属性主要包括基线属性集、未确定的属性值、映射到现有的格式、组件关系以及附加元素,
理解SPDX
漫步量化
06-06 3572
SPDX The Software Package Data Exchange (SPDE), an open standard for communicating software bill of material information, including components, licenses, copyrights, and security references. SPDX is an open source project hosted by the Linux Foundation. ..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值