为了保障软件供应链安全,美国国家安全局NSA和美国网络安全和基础设施安全局CISA牵头制定了《SBOM推荐实践指南》,指南提出的最佳实践和原则给企业、组织在管理软件供应链安全方面提供了非常具有建议性的指导意见。
1. 一个案例
假如你正在考虑购买两家竞争产品的供应商:
- 供应商A:提供了一份SBOM,表明他们的产品使用了大量旧的开源依赖关系,但没有
VEX。 - 供应商B:提供了一份SBOM,表明他们的产品使用了少量较旧的开源依赖项,并包含一个VEX产品,为漏洞提供了上下文。
有了SBOM这种新的依赖透明度,可使消费者能够在采购决策中对两家供应商进行更好的比较。
2. SBOM推荐实践指南产生背景
2023年11底,美国国家安全局NSA(National Security Agency)、美国网络安全和基础设施安全局CISA(Cybersecurity and Infrastructure Security Agency)等多个政府机构部门组成的工作组ESF(Enduring Security Framework,持久安全框架)联合发布了《保障软件供应链安全:SBOM推荐实践指南》(Securing the Software Supply Chain: Recommended Practices for Managing Open-Source Software and Software Bill of Materials),该文件对SBOM的最佳实践和原则提供了非常具有建议性的指导意见。
3. SBOM推荐实践指南简介
《SBOM推荐实践指南》旨在帮助组织快速启动其 SBOM 项目,并有效管理与开源软件相关的风险。文档包括一系列针对软件开发人员和消费者的指南,含四个主要部分:
- 开源软件管理;
- 创建和维护公司内部安全的开源存储库;
- 维护、支持和危机管理;
- SBOM 创建、验证和制品。
4. ESF管理SBOM的推荐做法
- 安全团队通常会定义与开源组件相关的安全策略、流程和工具:理想情况下,开发者应该从经过预先审核的内部仓库中选择具有所需功能的组件,即已经使用SCA安全分析工具进行了初始漏洞评估,然后在开发和/或构建阶段开展进一步扫描以尽早发现问题。
- 跟踪开源软件的更新,并监控问题和漏洞:当发现漏洞时,应评估受影响的软件,以确定组件的普及程度及其在产品中的使用情况。更新组件或者如果组件不再得到维护,应考虑寻找替代方案。
- 使用SBOM:了解软件中包含哪些组件对于准确、完整地管理代码至关重要。SBOM是包含软件中组件细节和供应链关系的正式记录。SBOM可以提高软件的透明度并记录组件的来源。对于漏洞管理,SBOM可以支持漏洞的识别和修复。从代码质量的角度来看,SBOM的存在可能表明供应商在整个软件开发生命周期中使用了安全的软件开发实践。
5. 指南具体内容
本指南包含以下附加部分和附录:
- 第一节:介绍
- 第二节:软件物料消耗清单
- 第三节:企业中的SBOM生命周期
- 第四节:SBOM风险评分
- 第五节:SBOM实施
- 附录A:参考文献/附录
- 附录B:缩略词列表
- 附录C:术语表
对指南感兴趣的可点此下载指南(访问密码:6277)。
6. 参考链接
扫一扫
1193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
