软件物料清单 (SBOM):从透明度理念到代码落地

最新推荐文章于 2024-04-15 15:32:11 发布
最新推荐文章于 2024-04-15 15:32:11 发布
阅读量5.6k 收藏 9
点赞数 1
文章标签: 大数据 编程语言 人工智能 项目管理 安全
原文链接:https://codesafe.qianxin.com/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

代码漏洞的数量和影响都在不断增长。随着越来越多的软件成分来自不同的供应商即软件供应链,快速找到并修复其中的漏洞也变得越发艰难。最近,某软件团队发现了一个 IP 漏洞且不得不通过 LinkedIn 找到能够修复该漏洞的财富100强公司,使它们意识到这个问题的存在。

其中的一个解决之道是使用软件物料清单 (SBOM)。美国商务部国家电信和信息管理局 (NTIA) 的网络安全计划主管 Allan Friedman 分享了通过 SBOM 使代码内部运作机制透明化的重要性。

SBOM 是什么?

SBOM 是描述软件包依赖树的一系列元数据,包括多种关键信息如提供商、版本号和组件名称。这些基本详情在分析软件漏洞时发挥着关键作用。这些漏洞根植于多种组件中,如下流程图所示。

SBOM 的价值是什么?

透明度使市场繁荣发展。例如,食品原料和标记使人们获得做出明智决策的所需知识。虽然标签无法保证人们将健康饮食,但有助于获得做出正确饮食选择的信息。同样,一份 SBOM 无法自动解决所有的安全问题,但使得团队更快更容易地解决这些问题。

SBOM 同时能够说明软件组件的很多信息。例如,如果SBOM中存在6个数据包版本,则很有可能其中的一个版本易受攻击。

这些能力远不止于漏洞,还表现在冗余方面。例如,有多少开源项目仅依赖于一个组件的问题,它被称为“尤克里里问题“,或者说,项目所有人可能会放弃这个爱好,拿起尤克里里,搁浅所有的依赖项目。

为何 SBOM 尚未成为标准实践?

SBOM 尚未成为当前的标准实践,原因很多。虽然它们正在站稳脚跟,但仍然存在一个鸡蛋和鸡的问题,没有人在询问这一点,因此也就没有提供。

另外,在供应链中并不一定易于创建 SBOM。作为一个新概念,这个行业挣扎于与其相关的最佳实践和工具集。例如,SBOM 要求命名一致,而供应商甚至合作伙伴会给相同组件不同的命名。

另外还有许可证和开源问题。

如何构建 SBOM?

按照NTIA的流程,具有一些制定 SBOM 的指导原则。其中最重要的原则就是意识到在学会走之前必须先会爬。我们有必要制定一个基础的 SBOM,便于团队进行对齐。所创建的 SBOM 需要是机器可读的,以便自动化,之后需要发布到一个已知或可发现的位置,便于访问和分析。

如何实现 SBOM?

当前实现 SBOM 的格式有三种:

1、SPDIX:Linux 基金会的根本投入。该计划是沟通SBOM信息的开放标准,包括组件、许可证、版权和安全引用。

2、CycloneDX:专为安全上下文和供应链组件分析而构建。

3、 SWID 标记:由记录关于软件组件唯一信息且协助存储管理计划的文件组成。

SBOM 示

医疗行业可以见到重要的 SBOM 概念验证情况,它依赖于物料清单来找到漏洞和可利用组件。这样做还可使供应商了解重要医疗设备的软件问题。

工具集

虽然现在已有制作 SBOM 的工具且未来也会不断出现,但 NTIA 给出了工具集分类,帮助团队选择正确的工具集。

这份分类围绕的是 SBOM:

  • 生产:在选择 SBOM 的格式和输出工件,以及分析并编辑已有列表时需要谨慎仔细。

  • 耗尽:良好的工具集使得团队能够读取内容并且对比不同的 SBOM 从而检测出其中的不同之处。

  • 变革:可结合SBOM 和其它数据的多个来源进行审计。

NTIA 还鼓励工具间的互操作性,以便所有人一起提高意识并提升工具的用处。

政府认可

就像医疗设备所达到的那样(生死问题),SBOM 应该也能未其它行业和应用程序做到这一点。当前的管理层意识到了网络安全的重要性并发布行政令,说明了 SBOM 及其价值。

SBOM 的未来

不止在美国,在全球也是一样,政府和行业认为 SBOM 对于安全的作用越来越重要。我们正在见证 SBOM 被认可和发挥作用的未来。

未来的愿景是,越来越多的组织机构在采用 SBOM 方法并帮助社区优化工具,以满足行业内的更多需求。SBOM 并非所有安全问题的解决方案,而是团队做出智慧安全决策的一部分。

推荐阅读

Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击

Linux 应用市场易受RCE和供应链攻击,多个0day未修复

在线阅读版:《2021中国软件供应链安全分析报告》全文

给开发者的9个安全建议:既能保护供应链安全,也不会拖慢开发进程

原文链接

https://blog.sonatype.com/sbom-from-the-idea-of-transparency-to-the-reality-of-code

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sig-security-sbom:SIG安全-软件物料清单
01-30
sig-security-sbom:SIG安全-软件物料清单
如何在软件项目中生成物料清单SBOM
weixin_61856963的博客
04-26 1613
从生成文件内容量看, CycloneDX>SPDX>SWID。CycloneDX:4178行;277KB。SPDX:1389行;135KB。SWID:34行;2KB。SWID插件默认只生成软件包的基本信息,不生成依赖组件的详细信息。SPDX插件默认能够生成软件包和依赖组件的详细信息。此外能够记录源文件基本信息(hasFile)、许可证信息等。CycloneDX插件默认能够生成软件包和依赖组件的详细信息。
SBOM是什么
m0_72410588的博客
05-17 1445
本文介绍了软件构建材料的开放性标准 - SBOM的相关知识。SBOM标准的引入可以帮助企业降低对于软件供应链的风险,并提高软件安全性。而SBOM算法则是实现SBOM标准的重要手段之一,它可以自动化地生成软件构建材料清单,大大提高了软件供应链安全的效率和质量。
SBOM介绍
最新发布
weixin_51928869的博客
04-15 1743
介绍软件物料清单sbom)相关规范和示例
SBOM那么重要,到底是怎么生成的?
weixin_55163056的博客
01-12 1193
SCA工具作为当下开源软件治理和软件供应链安全管理重要工具之一,生成SBOM是其重要核心功能之一
浅谈SBOM软件物料清单
panzhixiang
11-17 5445
SBOM是什么,SBOM的作用和实施
软件供应链安全基础知识(SBOM)--开发安全
专注网络安全,聚焦数据安全。
11-01 2091
首先我先讲讲一个案例,公司之间的合作作为产品经理参与方案整合是一个很正常的事情,但是做一个正在快速发展中的公司和一个已经上市的公司产品经理对接,是否可以想象下不是位置不对等导致交流不通畅(解释下不通畅不是不好交流的意思),而是在产品管理经验以及材料补位的工作上欠缺,比如一个标准的产品材料list,相对照拿出来对比,完全不同,这是大于号小于号的问题。中间就提到关于SBOM清单的问题,我当然不是很理解,也在被动的接受需求快速响应这些我认为是研发要给的东东,作为产品借口人自然开始对接了。了解工艺的人会更加清楚。
cyclonedx-gradle-plugin:从Gradle项目创建CycloneDX软件物料清单SBOM
02-04
CycloneDX Gradle插件CycloneDX Gradle插件创建一个项目的所有直接和传递依赖项的集合,并从结果中创建有效的CycloneDX物料清单文档。 CycloneDX是一种轻量级的BOM规范,易于创建,易于阅读且易于解析。用法执行: ...
cyclonedx-gomod:从Go模块创建CycloneDX软件物料清单SBOM
04-02
cyclonedx-gomod从Go模块创建CycloneDX软件物料清单SBOM) 安装 预构建的二进制文件在页面上可用。 从来源 go install github.com/CycloneDX/cyclonedx-gomod@latest 从源代码构建需要Go 1.16或更高版本。 兼容性...
cyclonedx-maven-plugin:从Maven项目创建CycloneDX软件物料清单SBOM
02-03
CycloneDX是一种轻量级的软件物料清单SBOM)规范,旨在用于应用程序安全上下文和供应链组件分析。 Maven用法 <!-- uses default configuration --> < groupId>org.cyclonedx < artifactId>cyclonedx-...
cyclonedx-node-module:从Node.js项目创建CycloneDX软件物料清单SBOM
04-29
CycloneDX Node.js模块 用于Node.js的CycloneDX模块创建一个有效的CycloneDX软件物料清单SBOM),其中包含所有项目依赖项的汇总。 CycloneDX是一种轻量级的SBOM规范,易于创建,人和机器可读且易于解析。 要求 Node.js v8.0.0或更高版本 用法 正在安装 npm install -g @cyclonedx/bom 获得帮助 $ cyclonedx-bom -h Usage: cyclonedx-bom [OPTIONS] [path] Creates CycloneDX Software Bill-of-Materials (SBOM) from Node.js projects Options: -v, --version output the version number -a, --appe
信息安全-应用安全-SCA技术:SBOM应用实践初探
码者人生的技术博客
05-20 868
供应链(Supply Chain)指生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构,即将产品从商家送到消费者手中整个链条。供应链的活动是指将自然原材料不断组装成消费者需要的成品的过程,描绘了产品供给关系。整个供应链系统涉及到人员、组织、材料、数据等。
构建开源供应链安全软件物料清单SBOM)
qzt961003的博客
07-08 1472
今天,开发人员频繁的在开源软件库的基础上构建web 应用程序。然而,尽管这些库构成了软件物料清单SBOM)组件库,但并非所有开发人员和业务涉及者都理解第三方库对开源供应链安全的重大影响。考虑到这一点,我们有必要对此进行详细的探讨。...
如何使用微软的开源工具生成 SBOM
学海无涯苦作舟的博客
10-05 2680
SBOM软件物料清单)通过列出您的代码所依赖的软件包和供应商来帮助您了解您的软件供应链。SBOM 正迅速获得发展势头,作为在现实世界供应链受到重大攻击后帮助提高安全性的一种方式。SBOM 的主要支持者之一是微软,该公司早在 2021 年 10 月就发布了针对他们这一代的方法。今年早些时候,该公司开源了其用于在 Windows、macOS 和 Linux 上生成 SBOM 的工具。在本文中,您将学习如何开始使用该项目来索引代码的依赖项。它生成与 SPDX 兼容的文档,列出项目中的文件、包和关系。
了解 SBOM (软件物料清单)
网络研究观
12-19 3123
预测到 2025 年,60% 的组织将把 SBOM 纳入其安全系统。
软件物料清单:打开软件资产黑匣子的关键钥匙
weixin_55163056的博客
05-19 177
传统的软件资产管理,更多地停留在软件版本、类型、名称、供应商等维度,对软件内部成分信息模糊,软件资产成为一个“黑匣子”,看不清摸不透,安全不可控。同时,开源网安软件物料清单管理平台通过对软件组成成分实时采集与分析,业务无感知,帮助企业及时获取最新的软件安全态势信息,根据内外部安全环境的变化快速调整安全策略,提高安全风险应急能力。,当某个“零配件”存在安全隐患时,产品制造商通过这个物料清单,就能快速确认该“零配件”被应用到哪个批次、版本的产品上,及时通知到对应的客户,降低因为产品安全问题带来的损失。
「势说新语」SBOM 在企业软件供应链管理中的重要性—安全漏洞篇
Sectrend的博客
06-17 1095
国内互联网企业大多已经采用 DevOps 的研发流程,那么把开源漏洞扫描融入到 DevOps 的工具链中,才能实现漏洞的早发现、早跟踪、早处理。在流程中的 SCA、SAST、DAST、IAST 等等测试就组成了 DevSecOps。企业需要建立标准化格式的软件物料清单SBOM)来进行开源组件的管理。...
SBOM 指南: 是什么及其作用
qzt961003的博客
11-06 370
行政命令指示联邦机构“发布最低限度的SBOM标准”,并界定有关“直接向购买者提供软件材料清单(SBOM)或向公共网站发布”的标准这项行政命令正在整个行业产生连锁反应,因为向美国联邦政府出售软件的供应商将越来越需要为他们提供的软件提供 SBOM。例如,对于他们购买或构建的每个软件应用程序都有一个全面的SBOM的组织可以立即识别新的零日漏洞的影响,例如 Log4j中的Log4Shell漏洞,并识别其确切位置以便更快地修复。通常,漏洞扫描是一个术语,用于发现基于以前公布的漏洞报告的软件的已知安全问题。
MDK编译生成 sbom
07-11
您好!要在MDK中生成软件构件清单SBOM),您可以按照以下步骤操作: 1. 打开MDK,并加载您要生成SBOM的项目。 2. 在MDK的菜单栏中选择“Project”(项目)选项。 3. 在下拉菜单中,选择“Generate Software Bill of Materials”(生成软件构件清单)选项。 4. 接下来,MDK将会开始分析您的项目并生成SBOM。 5. 生成的SBOM将包含项目中使用的所有软件构件的详细信息,包括版本号、许可证信息等。 6. 您可以将该SBOM保存到您指定的位置。 请注意,生成SBOM可能需要一些时间,具体时间取决于您的项目规模和复杂性。同时,确保您的项目中使用的所有软件构件都已正确配置和添加到MDK中,以便在生成SBOM时能够包含所有相关信息。 希望这能回答您的问题!如果您还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值