更多网络安全干货内容:点此获取
———————
软件物料清单(SBOM),企业软件资产管理的关键。
SBOM,全称是Software Bill of Materials,,中文翻译为软件物料清单。其实很好理解,就跟我们买加工后的食物,包装袋上展示的成分表一样,软件物料清单也可以理解为是软件的成分表。
里面主要包含这几项:
● 供应商名称:也就是开发该软件组件的个人或组织;
● 组件名称,通常由供应商决定;
● 组件版本: 一个标识符,指定当前使用组件的版本,同样,这是由供应商决定的;
● 其他独特标识符: 像SWID标签、PURL、CPE或类似的标识符,可以帮助SBOM 消费者在关键数据库中找到组件。
● 依赖项关系: 表示软件组件是如何结合在一起的,如,某个上游组件包含在某个软件
● SBOM数据的作者: 生成SBOM元数据的实体,可能是软件供应商或其他个人、团体
● 时间戳: SBOM 生成的日期和时间
基本上可以把软件内部组成成分的情况,比如来自于哪个供应商、版本、组件之间的相互依赖关系、层级关系等帮用户梳理清楚。
一般来说,那些软件体量比较大的企业,如果没有软件物料清单管理的话,软件安全管理就会比较困难。软件就跟盲盒一样,一旦出现安全问题,都没办法快速定位到安全问题所在。
SBOM现在在国外已经是很受重视了,美国电信管理局(NTIA)2021年就 发布了一项规定,要求是政府采购的软件必须要包含SBOM,也就是说,如果你想把你的软件卖给政府,必须附带这个软件物料清单。
622
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
