观点提炼 美国CISA、ODN等发布《SBOM推荐实践指南》

已于 2024-01-04 16:57:06 修改
阅读量1.2k 收藏 12
点赞数 38
分类专栏: SBOM 文章标签: 开源软件 开源 安全 web安全
于 2023-12-21 14:57:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suriwa/article/details/135131080
版权
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全:SBOM推荐实践指南》,该文件对SBOM的最佳实践和原则提供了非常具有建议性的指导意见。报告内容较多,为辅助大家提升对SBOM的重视,并理解与应用SBOM,本文将提炼出报告中的部分重要观点,让大家更直观学习国外对于SBOM的应用与研究成果。

一、SBOM的价值

1. 高质量的SBOM,可助力企业提升软件供应链安全的可控性

SBOM提高了软件内部组成成分信息与安全态势的可见性。软件内部成分信息的高可见性,对于软件供应链风险管理和整体企业风险管理至关重要。供应商提供给软件需方的SBOM 信息,为需方的风险管理提供了决策依据,同时也不会影响软件供应商的敏感知识产权利益。

如果供应商无法提供其软件的SBOM信息,那么需方应该对供应商提供的软件产品安全性保持怀疑,谨慎考虑与该供应商的合作。当前未暴露出安全问题的软件产品并不代表着永远安全,因此需方在采购时,让供应商进行全方面安全检测,以及提供SBOM信息,对其自身软件产品进行安全合规性声明及保证,才能更好地提升软件供应链安全的可控性。

2. 将SBOM数据转化为“安全情报”,可助企业更高效应对软件供应链风险

SBOM数据与其他软件数据进行关联,在安全问题来临时,可快速还原软件内部的层级与依赖关系,圈定漏洞影响范围,帮助企业快速定位问题,采取措施来降低风险。

同时,通过SBOM还可以降低合规层面的风险——例如:从SBOM中获得的许可信息可以帮助企业确认,在使用开源和第三方许可软件时是否遵守许可要求。

SBOM数据还可为企业提供软件组件最新状态的洞察,以降低因为引用的第三方组件长期未更新,带来的供应链安全风险。

二、如何更好地使用SBOM?

1. 将SBOM作为数据集使用

软件的SBOM仅作为单独的文件格式存在,有点暴殄天物。企业可集成所有软件SBOM 数据,建立SBOM数据管理平台,集中数据管理与数据应用。

同时,只关注SBOM本身是不足够的。想要高效提升软件供应链安全管理能力,仍需将SBOM数据与其他风险信息相关联,允许其他安全管理工具产生的数据,与SBOM管理平台数据产生链接,通过数据汇总、分析、提取并应用到各种管理系统或流程中——包括但不限于采购分析、资产管理、漏洞管理、总体供应链风险管理和合规管理等管理系统。

SBOM数据导入资产管理库、工具或系统,并且通过SCA工具验证并处理完毕以后,SBOM内容可以为企业内多个部门带来有效信息和价值:

  • 配置管理数据库(CMDB)
  • 软件资产管理 (SAM) 系统
  • 安全运营中心 (SOC)
  • 采购工作流程
  • 软件供应链风险评估和管理功能

2. 实现SBOM自动化处理、分析

当软件数量达到上百数千个的时候,企业想要了解整体的软件安全风险暴露情况,需要手动对SBOM文件进行检查。这显然不现实,因此,倘若通过一个界面,便可快速从成千上万个软件的SBOM中,定位到引用了目标组件的软件,企业的软件供应链风险管理能力将得到显著提升。当然,想要实现以上需求,还需要供应商提供标准化数据格式的SBOM,同时软件需方能拥有自动解析、转换SBOM的工具。

网安云软件物料清单管理平台,安装插件即可快速识别组件信息,自动解析,生成SBOM文件,免费体验地址:https://www.wanyun.cn/

3. 如何验收供应商提供的SBOM?

SBOM的验收主要是针对SBOM完整性以及真实性开展的,在这一环节中比较推荐的做法是生成哈希值的方式来进行。同时为了确保SBOM的完整有效和真实,推荐使用SCA(软件成分分析)工具来对SBOM的内容进行验证以确保该SBOM真实有效。

不仅如此,好的SCA工具还可以将SBOM内容和VEX联系起来,以方便企业做漏洞管理,以及可以了解软件内的依赖关系结构等等,在通过SCA工具对SBOM内容有了全面的了解,并确认无误后,便可以纳入到企业的SBOM使用流程中。

-免费用-网安云·软件物料清单管理平台icon-default.png?t=N7T8https://www.wanyun.cn/Product/SBOM

网安云基于开源网安成熟的SCA(软件成分分析)技术能力,深度研发具备全面性、标准化、“互操作性”,且高自动化高可视化的SBOM管理工具——软件物料清单管理平台。

01 全面性SBOM梳理

本平台除了对软件版本、类型、名称、供应商等基本信息进行管理之外,增加对软件内部成分信息(包括但不限于:内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等)的梳理与可视化展示。大大降低软件资产的“模糊性”,帮助企业快速摸清家底。

02 安全风险快速溯源

开源网安SBOM管理平台,运用强大的数据分析与图标可视化能力,还原软件内部成分信息之间层次、依赖关系,以及软件基本信息与安全信息之间的关联关系,绘制可视化关系图表。协助客户进行安全风险传导路径分析,快速溯源,圈定影响范围。

03 软件资产动态化管控

实现数据实时采集与分析,秒级的延时粒度,帮助企业及时获取最新的软件安全态势信息,根据内外部安全环境的变化快速调整安全策略,提高安全风险应急能力。

04 软件物料清单标准化

平台严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准,通过“识别组件-获取数据-构造SBOM”三大步骤,输出标准化的SBOM文件,确保文件格式有效、属性合规。

点此,滑至文末,拿SBOM推荐实践指南报告原文:观点提炼 | 美国CISA、ODN等发布《SBOM推荐实践指南》

网 安 云
关注
  • 38
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISA备考指南
01-28
CISA考试指南。我根据我自己的经历整理出来的。希望可以帮到大家
CISA2013认证考试指南
01-03
CISA 2013 认证考试指南, IT国际审计认证考试指南
推荐CISA国际信息系统审计师资料合集.zip
11-11
推荐CISA国际信息系统审计师资料合集,资料包含知识点梳理、模拟试题、真题(较老)、以及基础教程资料等。 一、CISA 中文知识点梳理 第一章-信息系统审计程序重要知识点 第二章-IT治理重要知识点 第六章-灾难恢复和业务连续性计划重要知识点 第三章-系统和基础建设生命周期管理重要知识点 第三章-系统和基础建设生命周期管理重要知识点 第四章-IT服务交付与支持重要知识点 二、CISA包过班题 答题表 第二章 第二章答案 第二章题 第三章 第三章答案 第三章题 第四章 第四章练习题 第四章练习题答案 第五章 第五章答案 第五章题 第一章 第一章答案 第一章题 CISA练习题库 三、CISA真题及练习题汇总 新版学习 CISA学习(历年资料) 四、CISA资料-基础 01-CISA认证相关 02-COBIT相关 03-IT审计规范 04-现场IT审计步骤 05-IT治理及相关标准规范 06-行业IT控制规范 07-相关资源
2017-ISACA-Exam-CISA考试指南.pdf
02-28
ISACA 简介 国际信息系统审计协会(ISACA,网址:isaca.org)为全球专业人士提供创新性、世界级的知识、标准、社群、认证和职业发展, 协助他们引领及适应不断向前发展的数字世界并树立信心。ISACA 成立于 1969 年,是一家非营利的全球性协会,成员遍布 180 个国家, 总数达到 140,000 人。ISACA 还提供一套完整的网络安全资源 Cybersecurity NexusTM (CSX) 以及用于治理企业技术的业务框架 COBIT®。 此外,ISACA 通过全球著名的注册信息系统审计师 (Certified Information Systems Auditor®, CISA®)、风险及信息系统控制认证 (Certified in Risk and Information Systems ControlTM, CRISCTM)、注册信息安全经理 (Certified Information Security Manager®, CISM®)、企业 IT 治理认证 (Certified in the Governance of Enterprise IT®, CGEIT®) 等认证来提升和验证关键业务技能及知识。
保障软件供应链安全SBOM推荐实践指南
manok的专栏
12-18 240
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件根据行业内对于SBOM的最佳实践和原则提供了非常具有建议性的指导意见,并且鼓励软件开发商和供应商共同参考,以维护和提升对软件供应链安全的认识。
美国CISA联合发布了勒索软件防护指南
穆穆-movno1
01-10 538
近日,美国CISA(国土安全部下属的网络安全和基础设施安全局)和MS-ISAC(州际信息共享和分析中心) 联合发布了勒索软件防护指南,该指南是以客户为中心的一站式资源,提供了最佳实践和预防,保护方法,帮助美国政府和企业更好地应对勒索软件攻击。 勒索软件防护指南包括两部分: 勒索软件预防最佳实践勒索软件响应清单 如果您的企业曾经遭遇过勒索病毒,或者面临此威胁,建议详细阅读此指南,并遵循其最佳实践。 勒索软件预防最佳实践 做好准备,以防不测 维护离线加密数据备份,定期测试备份至关重要。备份程序.
美国政府发布《软件供应链安全客户实践建议指南
smellycat000的专栏
11-21 414
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
【解读】保障软件供应链安全SBOM推荐实践指南(含指南获取链接)
网络安全
03-17 1171
指南旨在帮助组织快速启动其 SBOM 项目,并有效管理开源软件相关的风险。开源软件管理;创建和维护公司内部安全开源存储库;维护、支持和危机管理SBOM 创建、验证和制品。
美国安全局等发布安全部署人工智能系统指南
lurenjia404的博客
04-18 751
2024年4月15日,美国国家安全发布了名为《安全部署人工智能系统:部署安全、弹性人工智能系统的最佳实践》,该指南旨在为部署和运行由其他实体设计和开发的人工智能系统的组织提供最佳实践,以提高人工智能系统的机密性、完整性和可用性,并确保已知的人工智能系统的网络安全漏洞得到适当的缓解。同时,该文件还提供了一些方法和控制措施,以保护、检测和应对针对人工智能系统及其相关数据和服务的恶意活动。此外,建议使用最新的开发方法和技术,例如自动化代码审查和安全性测试,以及利用机器学习和人工智能来提高人工智能系统的安全性。
保障软件供应链安全SBOM推荐实践指南》2023年11月发布译文
12-18
2023年11底,美国ODN、NSA CCC、CISA、CSCC等多个政府机构部门联合发布了《保障软件供应链安全SBOM推荐实践指南》,《SBOM推荐实践指南》主要由ESF(Enduring Security Framework长久安全框架)小组编撰,该文件...
CISA、NSA等联合发布关于SBOM的软件供应链安全保护新指南
smellycat000的专栏
11-13 98
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
NSA和CISA 联合发布Kubernetes 安全加固指南
smellycat000的专栏
08-04 149
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA) 发布一份59页的技术报告,提出加固 Kubernetes 集...
美国安全局 NSA、CISA 发布 Kubernetes 安全加固指南(内附免费下载地址)
easylife206的专栏
08-05 421
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !Kubernetes 最初由谷歌公司的工程师开发,随后由云原生计算基金会开源,它是当前最流行的容器协作软件...
美国 CISA 和 NIST 联合发布软件供应链攻击相关风险及缓解措施
smellycat000的专栏
04-28 795
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也...
金融业开源软件应用 评估规范
银行信息系统应用架构导论
05-06 645
2.本文件中的查看文档指查阅代码托管平台记录、设计文档、开发文档、源码、管理文档、漏洞平台、审。兼容性包括硬件兼容性、操作系统平台兼容性、数据库兼容性、开源软件版本之间的兼容性,以及。为保证金融业信息系统运行稳定、可控,在开源软件维护过程中,金融机构应根据开源软件的自主。b)深度使用类开源软件:在满足简单使用类开源软件要求基础上,掌握开源软件容灾容错机制、行业支持情况反映开源软件在业界提供专业化服务的情况,行业支持情况评估内容见表4。a)引入时,不同开源软件的功能特性、性能效率存在差异,且可靠性、安全性。
智能评估时代:SurveyKing开源问卷系统YYDS
修己xj的博客
05-09 434
功能最强大的调查问卷系统和考试系统,有如下特性:同类型的项目比较:star 详情该项目目前在github上已有2.9k star缺点项目后端代码是开源的,项目前端代码部分未提供,整体项目是以打包后的jar文件的形式提供的。SurveyKing作为一款开源的问卷考试系统,为教育和企业界提供了一个灵活、高效的评估工具。通过本文的介绍,您可以了解到SurveyKing的主要特点和部署步骤,希望对您有所帮助。
FileZilla一款免费开源的FTP软件,中文正式版 v3.67.0
最新发布
平平无奇得Bug天才罢了
05-12 487
FileZilla 客户端是一个快速可靠的、跨平台的FTP,FTPS和SFTP客户端。具有图形用户界面(GUI)和很多有用的特性。
开源文档管理系统Paperless-ngx如何在Linux系统运行并发布至公网
fq157856469的博客
05-09 588
最后,我们使用固定的公网http地址访问,可以看到同样访问成功,这样一个固定且永久不变的公网地址就设置好了,随时随地都可以远程访问本地paperless-ngx服务,无需公网IP,无需云服务器!然后按提示设置用户名,邮箱,密码,本例设置的用户名为jon,具体可以自己设置,然后按提示输入邮箱,和设置用户名对应的密码,设置后回车提示successful表示成功,下面我们进行访问。,点击左侧的预留,选择保留二级子域名,设置一个二级子域名名称,点击保留,保留成功后复制保留的二级子域名名称。
推荐等保相关的学习资料
05-22
以下是一些关于等保的学习资料推荐: 1. 《信息安全等级保护实施指南》 这是国家信息安全等级保护评估标准(GB/T 22239-2019)的实施指南,详细介绍了等保评估的实施方法和技术要求,对于等保的初学者来说是非常有用的资料。 2. 《信息系统安全等级保护基本要求》 这是国家信息安全等级保护评估标准(GB/T 22239-2019)的基本要求,包括了等保的基本概念、等级划分、技术要求等内容。 3. 《信息安全管理体系》 这是ISO/IEC 27001国际标准,包括了信息安全管理体系的建立、实施、监控、评审和改进等内容,对于建立企业信息安全管理体系的人员来说是非常有用的资料。 4. 《信息安全技术基础》 这是信息安全领域的入门教材,包括了密码学、网络安全、应用安全、物理安全等方面的知识,对于了解信息安全基础知识的人员来说是非常有用的资料。 5. 等保相关的培训课程和认证考试 目前有很多机构提供等保相关的培训课程和认证考试,例如CISP、CISA、CISSP等认证考试,这些考试对于提升个人等保能力和职业发展非常有帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值