「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇

最新推荐文章于 2024-08-07 10:30:45 发布
最新推荐文章于 2024-08-07 10:30:45 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: 势说新语 文章标签: 源代码管理 网络安全 安全 devops 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sectrend/article/details/125331340
版权

引言:在信息安全界,近期爆出的最大的“雷”便是 2021 年 12 月发生的 Log4Shell 漏洞(CVE-2021-44228)。我们相信,类似 Log4Shell 的漏洞绝不是最后一次出现,那么下一次面临类似的问题的时候我们该怎样及早发现、及早修复呢?

在数字时代,软件安全已经成为政府、企业、组织等各个层面关注的重要问题。虽然软件是一种无形资产,但是由于忽视软件安全所带来的国家安全、企业安全、个人隐私等各个方面的严重问题却是“有形”的。CISQ(Consortium for Information & Software Quality) 发布的一个数字表明美国 2020 年由于软件质量付出的代价达到了 2.08 万亿美元。

更进一步,混源开发模式已成为常态,开源软件的使用比例越来越高。OSSRA 报告中显示,该机构调研的分布于各行业的组织中的 2409 个代码库中,有 97%的代码库包含开源组件。开源代码的使用对企业和开源社区甚至整个 IT 行业的发展都具有非常积极的意义,但是制定混源策略、管理这些日益增长的第三方代码、保证代码不受安全漏洞的威胁成为了一个迫切需要关注的问题。

在信息安全界,近期爆出的最大的“雷”便是 2021 年 12 月发生的 Log4Shell 漏洞(CVE-2021-44228)。该漏洞被广泛认为是史上最严重的信息安全漏洞。美国网络安全和基础设施安全局局长 Jen Easterly 把这个漏洞视为她职业生涯所经历的最严重的漏洞。接下来,我们就以该事件为例,与大家讨论如何在企业的软件供应链管理中及早发现、及早处理此类安全漏洞。

》》》什么是 Log4Shell 漏洞

Log4Shell 是一个 Log4j 产生的零日漏洞,主要涉及任意代码执行,允许攻击者在服务器或其他计算机上执行任意 Java 代码,或泄露敏感信息。Log4j 是 Apache 基金会贡献的开源项目,于 2001 年首次发布,它是一个基于 Java 的日志框架,受影响的 Log4j 版本包含 JNDI 功能(如消息查找替换),这些功能无法防止对手控制的 LDAP 和其他与 JNDI 相关的端点。

》》》Log4Shell 发现的时间线

  • 2021 年 11 月 24 日 阿里云安全团队的陈兆军首先发现问题并报告给 Apache 基金会

  • 2021 年 12 月 1 日 CloudFla

最低0.47元/天 解锁文章
Sectrend安势信息
关注
专栏目录
软件供应链安全基础知识(SBOM)--开发安全
专注网络安全,聚焦数据安全。
11-01 2251
首先我先讲讲一个案例,公司之间的合作作为产品经理参与方案整合是一个很正常的事情,但是做一个正在快速发展的公司和一个已经上市的公司产品经理对接,是否可以想象下不是位置不对等导致交流不通畅(解释下不通畅不是不好交流的意思),而是在产品管理经验以及材料补位的工作上欠缺,比如一个标准的产品材料list,相对照拿出来对比,完全不同,这是大于号小于号的问题。间就提到关于SBOM清单的问题,我当然不是很理解,也在被动的接受需求快速响应这些我认为是研发要给的东东,作为产品借口人自然开始对接了。了解工艺的人会更加清楚。
浅谈SBOM软件物料清单)
panzhixiang
11-17 6016
SBOM是什么,SBOM的作用和实施
SBOM 工具使用教程
最新发布
gitblog_00554的博客
08-07 826
SBOM 工具使用教程 sbom-toolThe SBOM tool is a highly scalable and enterprise ready tool to create SPDX 2.2 compatible SBOMs for any variety of artifacts.项目地址:https://gitcode.com/gh_mirrors/sb/sbom-tool 项目介...
软件供应链安全:深度解析软件物料清单(SBOM)生成与管理
java专栏
05-17 485
SBOM不仅是软件供应链透明度的基石,也是强化安全性、促进合规的重要工具。通过上述深度解析与实例演示,希望您能掌握SBOM的生成与管理技巧,为您的软件项目筑起一道坚固的安全防线。
严重的“Access:7”供应链漏洞影响100多家厂商150多款联网设备等产品
smellycat000的专栏
03-09 1169
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成...
windows的供应链安全漏洞太多了,蓝屏就是供应链的代码有BUG及windows本身非常的冗余,怪不得大型重要的服务器都用unix和linux,谁用windows
zhang9880000的博客
07-23 1003
通过实施软件成分分析、零信任模型、多层次防御、供应商安全评估、高可用性架构、主动监控和自动化修复等措施,组织能够显著提升其供应链安全和系统稳定性,减少安全事件的发生,并在遭遇攻击或故障时迅速恢复。当然,以下是更深入的分析,这不仅包括更多的技术细节,还纳入了一些具体的实例和高级的安全实践,以确保Windows系统的供应链安全和系统稳定性。供应链安全漏洞指的是在软件供应链的各个环节可能出现的安全问题。通过以上措施,可以进一步提升Windows系统的供应链安全和稳定性,减少蓝屏错误的发生。
保障软件供应链安全SBOM推荐实践指南》2023年11月发布译文
12-18
SBOM是供应商提供这一透明度的关键工具,它记录了软件产品的所有组件,使得潜在的漏洞和依赖关系可以被识别和管理,从而增强整个供应链的安全性。 **SBOM实践应用** 该指南提倡管理开源软件和维护SBOM的最佳实践,...
信通院郭雪:软件供应链安全标准体系建设与洞察
Anprou的博客
10-27 2148
悬镜安全出品并主办了ISC 2022软件供应链安全治理与运营论坛,特邀国信通院云计算与大数据研究所开源和软件安全部副主任郭雪发表主题演讲。
软件供应链安全治理与运营白皮书
02-02
随着开源软件软件开发的广泛应用,软件供应链的安全性变得至关重要,因为开源组件可能存在的安全缺陷不仅影响单个产品,还可能波及整个供应链。 白皮书指出,由于开源软件的开放性,开发者可能因疏忽造成安全...
基于SBOM软件安全治理实践
weixin_70923796的博客
06-09 64
b)监控组件的漏洞。SBOM不仅可以生成软件的成分清单,还可以提供清晰的组件依赖关系图,帮助挖掘出原先难以发现的间接依赖组件,便于规范组件的评估和使用,在软件的运维过程,也更有助于对软件管理和维护,为各项运维操作提供评估参考和依据,降低在软件变更或升级时的安全风险。可以根据具体的功能需求选取几款可以满足要求的组件作为候选,然后结合软件的资产管理,依据备选组件的SBOM对组件的安全性进行分析和评估,最后再根据设置的安全基线和组件黑白名单挑选出符合要求的组件作为最终所使用的组件,保证所选组件合规、安全
cyclonedx-maven-plugin:从Maven项目创建CycloneDX软件物料清单(SBOM
02-03
CycloneDX Maven插件 CycloneDX Maven插件创建项目的所有直接和传递依赖项的集合,并创建有效的CycloneDX SBOM。 CycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全上下文和供应链组件分析。 Maven用法 <!-- uses default configuration --> < plugins> < plugin> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-maven-plugin</ artifactId> < version>2.2.0</ version> </ plugin> </ plugins> 默认值 < plugins> < plugin> < groupId>org.cyclonedx</ groupId> < artifactId>cyclonedx-maven-plugin</ artif
cyclonedx-node-module:从Node.js项目创建CycloneDX软件物料清单(SBOM
04-29
CycloneDX Node.js模块 用于Node.js的CycloneDX模块创建一个有效的CycloneDX软件物料清单(SBOM),其包含所有项目依赖项的汇总。 CycloneDX是一种轻量级的SBOM规范,易于创建,人和机器可读且易于解析。 要求 Node.js v8.0.0或更高版本 用法 正在安装 npm install -g @cyclonedx/bom 获得帮助 $ cyclonedx-bom -h Usage: cyclonedx-bom [OPTIONS] [path] Creates CycloneDX Software Bill-of-Materials (SBOM) from Node.js projects Options: -v, --version output the version number -a, --appe
cyclonedx-gomod:从Go模块创建CycloneDX软件物料清单(SBOM
04-02
环己酮-戈莫德 cyclonedx-gomod从Go模块创建CycloneDX软件物料清单(SBOM) 安装 预构建的二进制文件在页面上可用。 从来源 go install github.com/CycloneDX/cyclonedx-gomod@latest 从源代码构建需要Go 1.16或更高版本。 兼容性 cyclonedx-gomod将为的最新版本的CycloneDX规范生成BOM。 您可以使用在多种BOM格式或规范版本之间进行转换。 用法 Usage of cyclonedx-gomod: -json Output in JSON format -module string Path to Go module (default ".") -noserial Omit serial number -novprefix
SBOM应该是软件供应链安全主食
热门推荐
网络研究观
03-07 1万+
SBOM是一个软件组件的清单,在应用程序是来自多个来源的代码的集合的时代,这是一个至关重要的工具,许多代码来自组织的开发团队之外。
信息安全-应用安全-SCA技术:SBOM应用实践初探
码者人生的技术博客
05-20 944
供应链(Supply Chain)指生产及流通过程,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构,即将产品从商家送到消费者手整个链条。供应链的活动是指将自然原材料不断组装成消费者需要的成品的过程,描绘了产品供给关系。整个供应链系统涉及到人员、组织、材料、数据等。
【Ripple20】工控系统供应链0day漏洞
HoneyICS的博客
07-29 656
一、参考资料 Ripple20 0day漏洞曝光,扫荡全球各行业数亿台联网设备 19 Zero-Day Vulnerabilities Amplified by the Supply Chain Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020 新的Ripple20漏洞使数十亿互联网连接设备面临被黑客入侵的风险 Ripple 20:Treck TCP / IP堆栈的缺陷使数以百万计的物联网
SAP 严重漏洞可导致供应链攻击
smellycat000的专栏
01-18 377
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成...
SBOM 指南: 是什么及其作用
qzt961003的博客
11-06 536
行政命令指示联邦机构“发布最低限度的SBOM标准”,并界定有关“直接向购买者提供软件材料清单(SBOM)或向公共网站发布”的标准这项行政命令正在整个行业产生连锁反应,因为向美国联邦政府出售软件的供应商将越来越需要为他们提供的软件提供 SBOM。例如,对于他们购买或构建的每个软件应用程序都有一个全面的SBOM的组织可以立即识别新的零日漏洞的影响,例如 Log4j的Log4Shell漏洞,并识别其确切位置以便更快地修复。通常,漏洞扫描是一个术语,用于发现基于以前公布的漏洞报告的软件的已知安全问题。
SBOM实践指南》:强化软件供应链安全
《保障软件供应链安全SBOM推荐实践指南》是由美国多个政府机构于2023年11月发布的,旨在提高软件供应链的安全性。这份指南由ESF(Enduring Security Framework)小组编写,针对软件供应链的弱点,如SolarWinds和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值