SBOM实例基础元素分析

最新推荐文章于 2024-04-24 21:50:57 发布
最新推荐文章于 2024-04-24 21:50:57 发布
阅读量231 收藏 1
点赞数
文章标签: 开源 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/133918909
版权

有时候,SBOM (软件材料清单)更多的是理论上的,而不是实际的。有很多关于使用 SBOM 的潜在好处的讨论,比如软件供应链安全和守规,以及流行的 SBOM 格式,比如 CyclonedX 和 SPDX。但是我们的一些客户(特别是那些在 SBOM 旅程早期的客户)已经提到,他们在现实世界的 SBOM 环境中面临着做决策的挑战。

考虑到这一点,我认为将一个示例应用程序和两个描述它的 SBOM 示例放在一起会很有帮助。在这个博客中,您将找到指向这两个示例的链接,以及它们的节和数据字段的描述。

本文中的所有分析都将基于以下SBOM 实例:

https://github.com/CortezFrazierJr/my_recipe_book/blob/main/sampleSPDX.json?ref=fossa.com

SBOM Example : SPDX

SPDX (Software Packet Data Exchange,软件包数据交换)支持标记/值(它称之为“简单的基于文本的格式”)、 YAML、 JSON 和 Excel 电子表格格式。我们的示例 SPDX SBOM 是 JSON 格式的。

有效的 SPDX SBOM 将始终包含具有文档创建信息的部分。根据材料清单的组成,它还可以包括描述包、文件、片段、许可信息、关系和注释的部分。

创建信息

文档创建信息包括 SPDX 文档的“谁”、“何时”和“如何”。示例 SPDX SBOM 中的文档创建信息从第2行开始,到第118行结束。其中一些数据字段是:

第2行: SPDX ID ——这提供了一种标准化的方法来引用整个文档中的 SPDX 材料清单。

第3行: SPDX 版本-这清楚地说明了材料清单所使用的 SPDX 规范的哪个版本。我们的示例使用当前版本的 SPDX 2.3(尽管即将推出的 SPDX v3.0正在开发中)。

第10行: 许可证列表版本-SPDX 许可证列表是常用的开源许可证的集合,包括简短的许可证标识符。许可证列表会定期更新(尽管通常只有很小的更改) ,这就是为什么许可证列表版本是文档创建信息的一部分。

第119行: 数据许可证——一份 SPDX 材料清单必须包括数据许可证,它基本上表明你正在使用知识共享 CC01.0通用许可证的条款下的 SPDX 规范。

信息

我们的 SBOM 示例的包信息部分从第120行开始。因为我们的应用程序依赖于许多包,所以我们的示例 SBOM 包含多个包条目。但是,我们在这里只讨论其中的一个。

包信息部分中的一些数据字段是:

第122行: SPDX ID-这是包 SPDX 标识符字段。它用于唯一引用 SPDX 文档中的给定包。

第128行: 供应商-这是给定包装的“实际分销来源”。这应该是一个作者(或组织) ,而不是一个主机网站。供应商不同于发起人(第127行) ,后者指的是原产地,而供应商指的是分销点。

第131行: 许可声明-这是组件作者声明的包许可。这与结束许可证(第134行)不同,因为结束许可证是由 SPDX 文档创建者(通常是一个 SBOM 工具)声明的,这就是为什么这些字段有时具有不同的值。

第135行: 校验和——包校验和字段的目的是帮助 SPDX 文档使用者确定原包中的任何文件是否已经更改。

第181行: 外部引用-此数据字段通常用于链接到安全文档,如 VEX (漏洞可利用性 eXchange)或包标识符,如 PURL。

依赖关系

我们的 SPDX SBOM 的这一部分用于描述 SPDX 元素之间关系的性质。这些元素可能是包、文件和/或片段,甚至是材料清单本身。(第4633-4635行说明了我们的 SPDX SBOM 正在描述我们的 Recipe Book 应用程序。)关系通常用于描述依赖项的性质,例如一个元素依赖于另一个元素(或包含另一个元素)。SPDX 提供了许多描述关系的方法,比如“ DependsOn”、“ DependencyOf”、“ Contains”等等。

文件信息

如前所述,SPDX 不仅可以描述包,还可以描述文件(和片段)。我们的示例 SBOM 不包含任何代码片段,但是,从6661行开始,它描述了几个文件。“文件信息”部分中的数据字段与“包信息”部分类似,尽管存在一些差异。(例如,虽然它们不包括在我们的示例中,但是包信息部分有一些字段可以用来通信发布日期、构建日期和有效日期。而且,“文件信息”部分有一些字段,可用于传达文件通知和文件贡献者。)

其他组

这些不包括在我们的示例中,但是 SPDX 也支持以下部分:

片段信息: 用于描述文件的一部分,包括字节和行范围在内的数据字段。

注释信息: 用于提供与部分或全部材料清单相关的附加上下文和注释。

检测到的其他许可证信息: 用于提供关于不常见许可证(不在 SPDX 许可证列表中的许可证)的附加上下文,这些许可证可能出现在材料清单中。

UniSCA能自动化一键生成SBOM,并支持SPDX在内的数种可定制导出格式,节省团队大量时间,切实有效地维护软件供应链安全。

CodeAnt试用地址

UniSCA试用地址

原文链接:让代码安全变轻松,简单好用的开发安全平台-CodeAnt

GitMore
关注
基于SBOM的软件安全治理实践
weixin_70923796的博客
06-09 95
b)监控组件的漏洞。SBOM不仅可以生成软件的成分清单,还可以提供清晰的组件依赖关系图,帮助挖掘出原先难以发现的间接依赖组件,便于规范组件的评估和使用,在软件的运维过程中,也更有助于对软件的管理和维护,为各项运维操作提供评估参考和依据,降低在软件变更或升级时的安全风险。可以根据具体的功能需求选取几款可以满足要求的组件作为候选,然后结合软件的资产管理,依据备选组件的SBOM对组件的安全性进行分析和评估,最后再根据设置的安全基线和组件黑白名单挑选出符合要求的组件作为最终所使用的组件,保证所选组件合规、安全
软件成分分析(SCA)详述
qzt961003的博客
07-26 1654
SCA是什么?SCA的分类?SCA的分级?SCA的流程?怎么选择SCA工具?
【转】软件成分分析(SCA)完全指南
tpriwwq的专栏
01-27 1435
软件成分分析(SCA)是查找开源软件包中的漏洞并学习如何修复它们的最佳选择,确保代码和应用程序处于安全状态。
如何使用微软的开源工具生成 SBOM
学海无涯苦作舟的博客
10-05 3045
SBOM (软件物料清单)通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM 正迅速获得发展势头,作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM 的主要支持者之一是微软,该公司早在 2021 年 10 月就发布了针对他们这一代的方法。今年早些时候,该公司开源了其用于在 Windows、macOS 和 Linux 上生成 SBOM 的工具。在本文中,您将学习如何开始使用该项目来索引代码的依赖项。它生成与 SPDX 兼容的文档,列出项目中的文件、包和关系。
构建开源供应链安全的软件物料清单(SBOM)
qzt961003的博客
07-08 1682
今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单(SBOM)组件库,但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。...
SPDX 3.0内容初探
qzt961003的博客
08-29 224
您还可以创建一个新的、单独的“文档”,该文档在以前定义的元素之间引入新的关系ーー这是对现有 SBOM 进行额外分析时的常见场景。: 这个概要旨在交流关于“用于软件或训练/测试 AI 软件包”的数据集的信息建议的配置文件包括诸如“数据集类型”(如图像、文本或多模态)、“数据集大小”(以字节为单位)和“数据集可用性”(数据集是否可供公众下载或在表单后关闭)等字段。在 SPDX 3.0中引入新的概要文件将与一个新的所需数据字段相一致,该字段用于交流 SBOM 描述的概要文件。例如,一个包可能是另一个包的依赖项。
深度解读 | 关于 SBOM基础元素,你需要知道的(Part II)
Sectrend的博客
08-19 475
企业和组织应该将重点放到 SBOM 使用机制的实践和流程上,并且将其集成到安全开发生命周期的日常活动中。
软件供应链安全基础知识(SBOM)--开发安全
专注网络安全,聚焦数据安全。
11-01 2304
首先我先讲讲一个案例,公司之间的合作作为产品经理参与方案整合是一个很正常的事情,但是做一个正在快速发展中的公司和一个已经上市的公司产品经理对接,是否可以想象下不是位置不对等导致交流不通畅(解释下不通畅不是不好交流的意思),而是在产品管理经验以及材料补位的工作上欠缺,比如一个标准的产品材料list,相对照拿出来对比,完全不同,这是大于号小于号的问题。中间就提到关于SBOM清单的问题,我当然不是很理解,也在被动的接受需求快速响应这些我认为是研发要给的东东,作为产品借口人自然开始对接了。了解工艺的人会更加清楚。
多模算法对比分析 ac wm sbom
07-26
从给定的文件标题、描述、标签以及部分内容中,我们可以提炼出与“多模算法对比分析 ac wm sbom”相关的专业IT知识。虽然部分内容似乎是乱码,但通过标题和描述,我们可以聚焦于多模态算法的性能对比分析,尤其是...
cyclonedx-core-java:用于创建和验证BOM的CycloneDX SBOM模型和实用程序
04-09
CycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全性上下文和供应链组件分析。 Maven用法 < groupId>org.cyclonedx < artifactId>cyclonedx-core-java < version>4.1.1 CycloneDX模式...
cyclonedx-gradle-plugin:从Gradle项目创建CycloneDX软件物料清单(SBOM
02-04
CycloneDX Gradle插件 CycloneDX Gradle插件创建一个项目的所有直接和传递依赖项的集合,并从结果中创建有效的CycloneDX物料清单文档。 CycloneDX是一种轻量级的BOM规范,易于创建,易于阅读且易于解析。 用法 执行: gradle cyclonedxBom 输出CycloneDX生成信息: gradle cyclonedxBom -info 排除物料清单序列号: gradle cyclonedxBom -Pcyclonedx.includeBomSerialNumber=false build.gradle (节选) plugins {
spdx-licenses:用于处理SPDX许可证列表和验证许可证的工具
02-25
作曲家/ spdx许可证 SPDX(软件包数据交换)许可证列表和验证库。 最初是作为一部分编写的,现在已提取并作为独立的库提供。 安装 使用以下命令安装最新版本: $ composer require composer/spdx-licenses 基本用法 <?php use Composer \ Spdx \ SpdxLicenses ; $ licenses = new SpdxLicenses (); // get a license by identifier $ licenses -> getLicenseByIdentifier ( 'MIT' ); // get a license exception by identifier $ licenses -> getExceptionByIdentifier ( 'Autoconf-exception-3.0' ); //
SBOM算法
11-09
SBOM 模式匹配算法
spdx-sbom-generator使用记录
phmatthaus的专栏
08-18 2340
spdx-sbom-generator使用记录
「 网络安全常用术语解读 」软件物料清单SBOM详解
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-24 2348
软件物料清单(Software Bill of Materials,SBOM)是软件成分信息的集合,SBOM文件中记录了软件产品或服务所使用组件、库、框架的清单,用于描述软件构建过程中使用的所有组件及其关系,以实现软件供应链的自动化识别与管理的需求。SBOM 属性主要包括基线属性集、未确定的属性值、映射到现有的格式、组件关系以及附加元素
信息安全-应用安全-软件成分安全分析(SCA)能力的建设与演进
码者人生的技术博客
07-11 1595
SCA 概念出现其实很久了。简单来说,就是针对现有的软件系统生成粒度非常细的 SBOM(Software Bill of Materials 软件物料单)清单,然后通过⻛险数据去匹配有没有存在⻛险组件被引用。目前,市面上比较出色的商业产品包括 Synopsys 的 Blackduck 、Snyk 的 SCA 、HP 的 Fortify SCA 等,开源产品包括国内悬镜的 OpenSCA
如何使用清源CleanSource SCA建立软件物料清单(SBOM
Sectrend的博客
11-01 1728
清源(CleanSource) SCA通过生成的完整、准确和可追溯的 SBOM,不但可以帮助企业降低安全风险和法律合规风险,还可以提高软件供应链的效率并提供可追溯性。
浅谈SBOM(软件物料清单)
panzhixiang
11-17 6130
SBOM是什么,SBOM的作用和实施
如何在软件项目中生成物料清单(SBOM
weixin_61856963的博客
04-26 2058
从生成文件内容量看, CycloneDX>SPDX>SWID。CycloneDX:4178行;277KB。SPDX:1389行;135KB。SWID:34行;2KB。SWID插件默认只生成软件包的基本信息,不生成依赖组件的详细信息。SPDX插件默认能够生成软件包和依赖组件的详细信息。此外能够记录源文件基本信息(hasFile)、许可证信息等。CycloneDX插件默认能够生成软件包和依赖组件的详细信息。
SBOM实践指南》:强化软件供应链安全
《保障软件供应链安全SBOM推荐实践指南》是由美国多个政府机构于2023年11月发布的,旨在提高软件供应链的安全性。这份指南由ESF(Enduring Security Framework)小组编写,针对软件供应链中的弱点,如SolarWinds和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值