如何在 SDLC 中使用SBOM

最新推荐文章于 2024-05-20 20:30:00 发布
最新推荐文章于 2024-05-20 20:30:00 发布
阅读量148 收藏
点赞数
文章标签: 开源
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/134371925
版权

今天,我们看到更多的企业开始优先使用软件材料清单(SBOM)。但是对于许多人来说,SBOM 主要是作为一个可选项生成的,在SDLC全流程中很难看到作用。

这就错过了在整个软件开发生命周期(SDLC)中集成 SBOM 的重要机会。通过正确的步骤,组织可以利用 SBOM 数据来理解和管理各种风险,包括软件供应链安全性和开源许可证遵从性。

本文中,我将介绍我们在UniSCA中看到的帮助组织使用 SBOM 在整个软件开发生命周期中管理风险的工具、过程和策略。

计划阶段的 SBOM

软件开发生命周期的计划和定义阶段是产品和工程团队一起决定下一个版本的软件: 特性、特性定义和接受标准。这也是确保您拥有适合您的产品的 SBOM 工具的好时机。

目前市场上有许多 SBOM 工具,其中许多工具非常善于支持 SBOM 生命周期的特定部分。很难找到一种解决方案,可以满足您提出和使用第一方和第三方 SBOM 数据以及获得真正的安全好处的所有需要。

我们的目标是找到一些工具,使您能够最大限度地、几乎是机械地覆盖您所使用的语言和技术。我所说的机械是指,如果您必须以一种方式为特定的生态系统或语言创建 SBOM,而以另一种方式为另一种语言或生态系统创建 SBOM,那么您将得到不一致且可能不准确的结果。

我还要指出,今天的 SBOM 讨论主要集中在第一方软件——您和您的组织正在创建的软件。但是,软件供应链的本质是,您也使用了许多其他公司正在开发的软件。因此,我们看到越来越多的组织优先考虑能够将第三方 SBOM 导入到系统中的工具,在这种系统中,您可以理解并管理许可证遵从性和安全性。  

其他工具考虑因素包括:

  1. 您想使用哪些 SBOM 格式和规范,例如 SDPX 或 CycloneDX?
  2. 您希望如何交付 SBOM?您是否希望将 SBOM 作为构建过程的一部分签入源代码?或者当一个实际的交付工件或释放出去的时候包括它?

最终,您对这些问题的回答将大大有助于帮助您确定满足组织需求的最佳 SBOM 工具。

设计和构建阶段的 SBOM

在设计和构建阶段,我们真正看到产品和工程涉众一起工作,以确保在开发软件时,您了解与使用某些组件相关的风险。

问题的关键在于,如果你花了六个月的时间构建一个依赖于某种开源依赖的组件,但后来发现存在一个关键的漏洞或许可风险,使得它无法使用该组件。对每次提交进行这种检查可以确保您有一个快速的反馈周期,以便在过程的更早阶段改变、替换或考虑其他选项。

这是我们建议在构建过程中生成 SBOM 的一个重要原因。如果您在构建完成后立即运行 SBOM 报告,那么在解析这些依赖项时,您将获得最准确、最新的依赖项列表。

一旦有了依赖项列表,就可以开始分析它们了。这就是像 FOSSA 这样的工具非常有用的地方。FOSSA 提供了许多不同类型的依赖元数据,我们根据对 SBOM 数据的分析标记了许可问题和安全漏洞问题。

部署和测试阶段的 SBOM

您已经设置了 SBOM 程序,生成了一个最新的依赖项列表,并标记了安全和许可问题。现在,是激活进程门的时候了,这个进程门将防止出现严重漏洞或许可证遵从风险的发货软件。

这些流程大门通常是法律、安全和工程涉众之间就以下主题进行对话的结果:

  1. 我们是否应该允许在给定的产品中使用有版权许可的组件? 该产品是如何分发的?
  2. 如果存在安全漏洞,而且每个生产的软件都有漏洞,我们现在需要解决哪些问题?我们可以把哪个留到下一个版本?

使用UniSCA这样的工具来实现这些流程是最简单的,它允许组织自动化实现。例如,如果您的法律和工程团队已经同意某个 SaaS 产品不能使用任何 AGPL 许可的代码,UniSCA可以自动标记该问题并使 CI 构建失败,直到您替换了 AGPL 组件。

这就是 SBOM 能够提供最大价值的地方——您知道软件中的内容以及这些组件带来的风险,因此您可以采取适当的行动来实现组织实现的 SLA。鉴于现代应用程序可能有数百个开放源码依赖项,使用自动化来快速找到这个大海捞针中风险最大的那个是至关重要的。

这个过程同样适用于第三方应用程序 SBOM: 一年多以前,许多组织正在处理 Log4Shell 漏洞,并急切地试图确定这些应用程序是否(以及在哪里)正在使用 Log4J。支持导入第三方 SBOM 的工具可以让你像分析我们自己的代码一样分析这些 SBOM,并且在遇到像 Log4Shell 这样的关键安全漏洞时,立即采取行动,包括提醒供应商升级到安全版本。

使用UniSCA生产SBOM

UniSCA能自动化一键生成SBOM,并支持SPDX在内的数种可定制导出格式,节省团队大量时间,切实有效地维护软件供应链安全。

原文链接:

https://www.codeant.cn/industry_detail?id=c19f49e886e34f4caca216a4e3372076

GitMore
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Checkmarx SDLC集成接口配置文档-文说明
03-15
Checkmarx SDLC集成接口配置文档-文说明 带详细操作步骤和流程
浅谈SBOM(软件物料清单)
panzhixiang
11-17 5389
SBOM是什么,SBOM的作用和实施
SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅰ
Sectrend的博客
04-27 200
网络安全漏洞的独特之处在于,不同制造商生产的不同医疗设备可能会使用相同的组件,这些看似安全的设备如果使用了这个有漏洞的组件会受到广泛的影响。SBOM的深度是动态的,随着SBOM被市场的接受程度越来愈高,以及整个供应链对SBOM的要求越来越规范,也会使得SBOM的深度逐步提升。SBOM还是一个较新的概念,换句话说也就是仍处于一个被人们逐渐了解和接受的过程,基于这样的情况我们就会发现已经流入市场的一些设备并没有提供对应的SBOM,乃至于对这些设备SBOM的最基本元素和信息我们都无从得知,
SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅱ
Sectrend的博客
04-28 344
由于格式和软件标识符可能会在设备和存储库的生命周期发生变化,因此,在设备标识符和一些用于记录SBOM信息的任何格式的文件之间进行对应的能力是这种SBOM存储库的最重要特征(比如SWID标签)。本文的上半篇,我们对SBOM在医疗器械行业的应用有了一个大体的了解,同时还相对详细地探讨了制造商对于SBOM的收集、生成、分发、维护的一些注意事项分享。SBOM包含的组件类型的范围可能取决于多种因素,包括但不限于:MDM的能力、HCP的期望、现有SBOM软件的成熟度以及未来可能出台的对于SBOM的相关法规要求。
云起无垠参编的《软件物料清单(SBOM)发展洞察报告》正式发布
m0_73736695的博客
09-15 72
近日,由云计算开源产业联盟主导,华为、阿里云、蚂蚁科技、建信金科、奇安信、绿盟、天融信、联通软研院、移集成、360、云起无垠等业界知名机构专家参编的《软件物料清单(SBOM)发展洞察报告(2023)》正式对外发布。
如何使用清源 CleanSource SCA 管理开源风险
Sectrend的博客
11-11 1313
在现代的开发模式开源可以说无所不在。从开源的 Linux 操作系统到 Kubernetes, Docker 这类开源的基础架构管理工具,再到 TensorFlow, PyTorch 这类 AI 和机器学习相关的开源库,几乎所有行业的应用都在很大程度上有开源软件的身影。更多更广泛的云原生应用的引入,更多更复杂的开源应用的使用场景,意味着组织面临着越来越多的风险。 清源(CleanSource) SCA 可以无缝集成到SDLC(软件开发生命周期)和 CI/CD 工具链,从最大限度保持开发和迭代速度。
老码农眼SBOM
我相信......
04-09 452
在QCon2022的“工程师成长”论坛上,我分享了《QCon:工程师成长的金字塔思维》,其在金字塔思维示例引用了悬镜安全的敏捷安全金字塔——其,在解释“SCA”的时候, 谈到了SBOM,那么,具体什么是SBOM呢?除了与系统的安全性紧密相关之外,SBOM还有怎样的价值呢?1. 从BOM到SBOM在详细了解SBOM之前,理解什么是BOM可能大有裨益。BOM(Bill of Material)即...
你有多了解你的代码?使用开源软件的四个最佳实践
weixin_53855915的博客
06-25 139
由于我戴着首席信息安全官(CISO)的帽子,我花了很多时间思考网络安全威胁–我的首要关注点。对我来说,充分了解我的IT资产是很重要的。我有什么?它在哪里?谁拥有它?它存储、处理或传输什么数据?它是最新的和完全修补的吗?这些重要的问题必须得到正确的回答,以掌握和了解复杂的混合IT环境。 随着时间的推移,类似这样的问题需要应用于开源软件(OSS)。开放源码软件的使用多年来一直在上升,因为它提供了敏捷性和降低运营成本的能力,并利用了开放源码社区的协作性质。这种势头随着Covid-19的流行而加速,当时采用这种技.
注意 ! !|95% 的应用程序发现错误配置和漏洞
分享平台工程、应用部署的最佳实践
11-18 380
在进行4300次测试后,发现95%的应用程序都至少都有一个影响安全的漏洞或配置错误,其高危漏洞占20%,严重漏洞则占4.5%。
开源是容器安全面临的最大挑战?|Anchore 软件供应链安全报告解读
腾源会
11-12 1045
PART ONEAnchore 软件供应链安全报告解读Anchore[1]是一家关注软件供应链安全的安全厂商,其旗下有好几款关于安全的开源项目,比如 Syft[2]、Grype[3]。其在...
DevOps在公司项目的实践落地
02-25
DevOps(Development和Operations的组合词)是一种重视...——MikeKavisMikeKavis是美国CloudTechnologyPartners公司的副总裁兼首席架构师,他也更加详细地描述介绍说:DevOps是软件开发生命周期(SDLC)从瀑布式到敏
SDLC
03-29
SDLC
sdlc:软件开发生命周期
05-24
软件开发生命周期 特征 项目管理 版本控制 合作 环境管理 ...git clone https://github.com/betterde/sdlc.git && cd sdlc # Install back-end dependencies composer install # Install front-end d
DLRover:蚂蚁集团开源的AI训练革命
最新发布
人工智能前沿分享
05-20 216
它能够恢复失败的参数服务器和工作节点,自动启动具有更多内存的Pod以恢复内存不足的节点,重新分配失败工作节点的训练数据给其他工作节点,并根据模型大小自动扩展参数服务器。在蚂蚁集团的实践,DLRover 管理着每天数百个深度学习训练作业,除代码错误导致的失败作业外,作业完成率从使用 KubeFlow 的 tf-operator 的89%提高到了95%。与传统的检查点操作相比,Flash Checkpoint 允许训练过程更频繁地保存检查点,并且在发生故障时,可以减少从最新检查点恢复训练所需的回滚步骤。
开源可视化表单服务商:提升自主研发 助力流程化办公!
Gzlcxxjs的博客
05-14 285
想要实现流程化办公,欢迎随时来了解低代码技术平台、开源可视化表单的更多优势特点。
springboot vue 开源 会员收银系统 (2) 搭建基础框架
qq_35238367的博客
05-20 208
springboot vue 开源 会员收银系统 教程
IBM Granite模型开源:推动软件开发领域的革新浪潮
2301_79342058的博客
05-15 790
正如Bala Priya C在KDnuggets解释的那样,“使用Ollma,运行LLM所需的一切——模型权重和所有配置——都打包在一个Modelfile。正如Red Hat的高级副总裁兼首席产品官Ashesh Badani所说,InstructLab将“降低面向混合云的GenAI的许多障碍,从有限的数据科学技能到所需的庞大资源。这不是关于为你的狗写诗。此外,IBM认为Granite模型因其明确的许可和训练方式,以及已清洁和过滤了仇恨、滥用和粗俗语言的数据,对开发者有所帮助的同时,也能带来商业利益。
深度学习入门到放弃系列 - 阿里云人工智能平台PAI部署开源大模型chatglm3
皮皮虾的博客
05-14 731
云服务器部署chatglm3 阿里云人工智能平台PAI
SDLC增删改查的场景
07-28
SDLC,增删改查(CRUD)是常见的场景,用于描述对数据进行创建、读取、更新和删除操作的过程。这些操作通常在软件开发的不同阶段发生。在需求阶段,开发团队会与利益相关者讨论并确定系统需要支持的增删改查功能。在设计阶段,开发团队会设计相应的数据模型和数据库结构来支持这些操作。在实现阶段,开发人员会编写代码来实现增删改查功能,并进行相应的单元测试和集成测试。在验证阶段,质量团队会使用SAST工具对代码进行静态分析,以发现潜在的安全漏洞和缺陷。在发布准备阶段,SAST工具也可以用来检查代码的质量指标,确保软件产品符合质量标准和漏洞准则。在响应阶段,如果发现了安全紧急情况或漏洞,SAST工具可以用来快速响应并修复这些问题。因此,增删改查场景在SDLC的不同阶段都扮演着重要的角色。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [在SDLC使用静态代码分析的最佳实践](https://blog.csdn.net/xiaoli6789/article/details/106394036)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值