深度解读 | 关于 SBOM 最基础元素,你需要知道的(Part II)

最新推荐文章于 2024-05-03 11:16:29 发布
最新推荐文章于 2024-05-03 11:16:29 发布
阅读量475 收藏 1
点赞数
分类专栏: 势说新语 文章标签: 源代码管理 安全 devops 源码软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sectrend/article/details/126417753
版权

“企业和组织应该将重点放到 SBOM 使用机制的实践和流程上,并且将其集成到安全开发生命周期的日常活动中。”

文章关键词:SBOM;SBOM 最基础元素;数据字段;自动化支持;最佳实践和流程

前文我们围绕“什么是软件基础设施透明度”、“为什么制定最基础 SBOM”、“最基础 SBOM 对各方优势”、“最基础 SBOM 涉及范围”等多个方面,对美国商务部与国家电信和信息管理局(NTIA)发布的 SBOM 最基础元素指南给大家做了一个初步的介绍。

在接下来的文章中,我们会详细为大家介绍 SBOM 最基础元素涉及的三个方面:数据字段、自动化支持与最佳实践和流程。前文提到:“我们对数字基础设施的信任度与基础设施的可信度和透明度成正比。”这些最基础元素代表着本指导意见对于企业和组织对于提升软件供应链安全的最基本要求。后续企业和组织可以针对自身情况在此基础上增加信息来提升软件供应链安全的透明度。

软件的“树状结构”

软件与组件的关系可以用树形结构来表示,软件是由不同的组件组成,而组件也是由很多子组件组成。

图 1.软件组件间的树状结构示意

组件的来源通常是第三方,但也可以是“甲方”,比如说来自同一供应商但能够被唯一识别,作为一个独立的、可跟踪的单元。每一个组件都应该拥有其 SBOM 表来构建这个树形结构。从工具和统

最低0.47元/天 解锁文章
Sectrend安势信息
关注
专栏目录
【项目实战】SBOM ,客户让我提供Sbom软件清单?
本本本添哥
06-08 797
当前 SBOM 有三种最为主流的格式,他们分别为: SPDX、 SWID以及 CycloneDX。
构建开源供应链安全软件物料清单(SBOM)
qzt961003的博客
07-08 1680
今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单(SBOM)组件库,但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。...
深度解读 | 关于 SBOM基础元素,你需要知道的(Part III)
Sectrend的博客
08-31 777
SBOM 要达成的目标还远远没有实现,需要通过不断地创新与迭代来完善,是一个长期的反复的过程。
「 网络安全常用术语解读软件物料清单SBOM详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-24 2346
软件物料清单(Software Bill of Materials,SBOM)是软件成分信息的集合,SBOM文件中记录了软件产品或服务所使用组件、库、框架的清单,用于描述软件构建过程中使用的所有组件及其关系,以实现软件供应链的自动化识别与管理的需求。SBOM 属性主要包括基线属性集、未确定的属性值、映射到现有的格式、组件关系以及附加元素
软件供应链安全基础知识(SBOM)--开发安全
专注网络安全,聚焦数据安全。
11-01 2301
首先我先讲讲一个案例,公司之间的合作作为产品经理参与方案整合是一个很正常的事情,但是做一个正在快速发展中的公司和一个已经上市的公司产品经理对接,是否可以想象下不是位置不对等导致交流不通畅(解释下不通畅不是不好交流的意思),而是在产品管理经验以及材料补位的工作上欠缺,比如一个标准的产品材料list,相对照拿出来对比,完全不同,这是大于号小于号的问题。中间就提到关于SBOM清单的问题,我当然不是很理解,也在被动的接受需求快速响应这些我认为是研发要给的东东,作为产品借口人自然开始对接了。了解工艺的人会更加清楚。
软件物料清单 (SBOM):从透明度理念到代码落地
smellycat000的专栏
06-28 5852
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士代码漏洞的数量和影响都在不断增长。随着越来越多的软件成分来自不同的供应商即软件供应链,快速找到并修复其中的漏洞也变得越发艰难。最近...
信息安全-应用安全-SCA技术:SBOM应用实践初探
码者人生的技术博客
05-20 971
供应链(Supply Chain)指生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构,即将产品从商家送到消费者手中整个链条。供应链的活动是指将自然原材料不断组装成消费者需要的成品的过程,描绘了产品供给关系。整个供应链系统涉及到人员、组织、材料、数据等。
cyclonedx-core-java:用于创建和验证BOM的CycloneDX SBOM模型和实用程序
04-09
CycloneDX核心模块提供了SBOM的模型表示以及用于帮助创建,验证和解析SBOM的实用程序。 CycloneDX是一种轻量级的软件物料清单(SBOM)规范,旨在用于应用程序安全性上下文和供应链组件分析。 Maven用法 ...
保障软件供应链安全SBOM推荐实践指南》2023年11月发布译文
12-18
**保障软件供应链安全SBOM推荐实践指南** 随着数字化进程的加速,软件供应链安全成为了一个至关重要的议题。软件物料清单(Software Bill of Materials,SBOM)作为一种管理软件组件的工具,已经成为确保软件供应...
如何使用微软的开源工具生成 SBOM
学海无涯苦作舟的博客
10-05 3043
SBOM软件物料清单)通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM 正迅速获得发展势头,作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM 的主要支持者之一是微软,该公司早在 2021 年 10 月就发布了针对他们这一代的方法。今年早些时候,该公司开源了其用于在 Windows、macOS 和 Linux 上生成 SBOM 的工具。在本文中,您将学习如何开始使用该项目来索引代码的依赖项。它生成与 SPDX 兼容的文档,列出项目中的文件、包和关系。
cyclonedx-gradle-plugin:从Gradle项目创建CycloneDX软件物料清单(SBOM
02-04
CycloneDX Gradle插件 CycloneDX Gradle插件创建一个项目的所有直接和传递依赖项的集合,并从结果中创建有效的CycloneDX物料清单文档。 CycloneDX是一种轻量级的BOM规范,易于创建,易于阅读且易于解析。 用法 执行: gradle cyclonedxBom 输出CycloneDX生成信息: gradle cyclonedxBom -info 排除物料清单序列号: gradle cyclonedxBom -Pcyclonedx.includeBomSerialNumber=false build.gradle (节选) plugins {
了解 SBOM (软件物料清单)
网络研究观
12-19 4934
预测到 2025 年,60% 的组织将把 SBOM 纳入其安全系统。
「 网络安全常用术语解读SBOM主流格式CycloneDX详解
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-03 2400
CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。
SBOM 指南: 是什么及其作用
qzt961003的博客
11-06 569
行政命令指示联邦机构“发布最低限度的SBOM标准”,并界定有关“直接向购买者提供软件材料清单(SBOM)或向公共网站发布”的标准这项行政命令正在整个行业产生连锁反应,因为向美国联邦政府出售软件的供应商将越来越需要为他们提供的软件提供 SBOM。例如,对于他们购买或构建的每个软件应用程序都有一个全面的SBOM的组织可以立即识别新的零日漏洞的影响,例如 Log4j中的Log4Shell漏洞,并识别其确切位置以便更快地修复。通常,漏洞扫描是一个术语,用于发现基于以前公布的漏洞报告的软件的已知安全问题。
「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇
Sectrend的博客
06-17 1205
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单(SBOM)来进行开源组件的管理。...
详解SBOM清单:要素、用例和工具
qzt961003的博客
07-14 989
在本文中,我们将探讨与SBOM相关的所有内容,包括构成要素、优点、用例和工具模板。
美国商务部发布软件物料清单 (SBOM) 的最小元素(中)
smellycat000的专栏
12-30 653
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成...
关于软件物料清单(SBOM),你所需要了解的一切
分享 GPU 管理与大模型推理相关技术实践
11-15 1233
在此前的多篇文章中,我们已经详细地介绍了软件物料清单(SBOM)对于保障软件供应链安全的重要性以及一些注意事项。在本文中,我们将会更深入地介绍SBOM
SBOM(Software Bill of Materials,软件物料清单)
ejinxian的专栏
07-15 1059
Salus能够自动检测NPM、NuGet、PyPI、CocoaPods、Maven、Golang、RustCrates、RubyGems、容器内的Linux软件包、Gradle、Ivy和GitHub公共仓库。除此之外,Salus还可以参考其他SBOM文件,以获取更加完整的依赖关系。微软将Salus定位为「通用的、经过企业验证的SBOM生成器」,可以轻松集成到软件构建的工作流程中。微软开发的这个工具名为。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值