JupiterOne的首席信息安全官Sounil Yu近期公开讨论了软件物料清单(SBOM)在确保软件供应链安全方面转变思维的必要性。
去年SolarWinds攻击事件发生之后,美国总统拜登5月发布了一项行政命令,主张强制实施软件物料清单(SBOM)策略,以提高软件透明度并应对各种类型的供应链攻击。
关于软件材料清单(SBOM)
软件材料清单(SBOM)是一种机器可读的文档,可以提供用于构建软件产品(包括开源软件)的组件相关记录信息。作为一名安全专业人员,关于软件材料清单(SBOM)的授权命令绝对是一个好消息,因为此前所有组织和企业在软件的购买和使用方面透明度并不高,而该政策一出,意味着能够给我们提供该方面更大的透明度。
自该《行政命令》颁布以来,软件制造商和买家一直在试图弄清楚软件物料清单(SBOM)如何支持和保证供应链安全。毫无疑问,许多人都认为这是一个令人头痛的问题,但也有很多人认为这是一个明智的举措和有效的安全保障。我们在软件供应链方面的部分问题是我们对软件供应链过于信任,而我们已经了解了零信任安全模型的好处了,并将此概念应用于我们的网络和终端节点之上,但我们还没有完全弄清楚如何将这一安全模型应用到我们的软件供应链之中。
我们之所以会需要软件材料清单(SBOM)这样的东西,是因为我们并不信任我们的软件供应链,因此我们还需要这方面的高透明度,而软件材料清单(SBOM)正好可以为我们提供这种透明度,并允许我们向软件供应链的零信任方法迈进。
牛津大学著名信托专家兼讲师雷切尔·博茨曼(Rachel Botsman)这样描述了这个问题:“我曾经听到过一种说法,即通过所谓的透明度来建立更多的信任,这是一种错误的方法,也是一种常见的说法。但如果你想一切都边得更加透明,那么你此时实际上就已经降低了信任度。通过提升透明度,你也就减少了对信任的需要。”
毫无疑问,软件材料清单(SBOM)可以给我们提供更大的透明度,并且允许我们在软件供应链中采用更多的零信任方法。
软件材料清单(SBOM)允许我们在面对未知事物时有更多的信心
现在,我们无法在一个真正保持零信任水平的环境中高效运作,因此我们需要使用一些方法来构建我们的信任体系。雷切尔·博茨曼(Rachel Botsman)将信任定义为“与未知事物的自信关系”。在我们的软件供应链中有很多未知的事物,但软件材料清单(SBOM)也提供了一种在未知事物中获得并建立信任的方法。
具体地说,我们可以认为大规模产出软件材料清单(SBOM)的能力与软件开发实践的成熟度和现代化程度是高度相关的。如果一个人的软件开发实践不成熟或使用的是过时的技术,那么创建软件材料清单(SBOM)通常来说就会比较困难。
如果我们去要求软件供应商来制作软件材料清单(SBOM)的话,似乎困难会更大,这样不得不让我怀疑他们的软件开发实践策略,而且我对这种与软件供应商相关的未知因素也没什么信心。
无论他们是否愿意实际向我展示他们的软件材料清单(SBOM),但我只要知道他们可以轻松地生产软件材料清单(SBOM),我就可以相信他们的软件开发实践是现代化的或足够成熟的,并且足以应对各种软件漏洞或软件相关的常见安全问题。
除了SBOM,我们还能寄希望于什么?
软件材料清单(SBOM)是实现软件供应链透明度的重要一步,也是第一步,但我们还需要做很多其他的工作。比如说,许多人将SBOM等同于食品上的成分标签。从这个角度来看,我们可以看到我们的软件供应链和食品供应链之间的相似之处。随后,应明确端到端来源和抗篡改的需要。
因此,我对谷歌提出的软件工件供应链级别(SLSA)框架表示非常有信息,这对于整个社区来说都是一件振奋人心的事情,而这个框架会引导我们创造出一种提高软件供应链透明度和完整性的通用语言。
然而,对于一些执行关键功能(如安全性)的软件来说,拿食品供应链来做比较还是不够充分的,而我们将这种软件与医学领域进行比较可能更合适。但这种类比也需要我们考虑更多额外的东西,比如说,药物上的药品标签不仅包括成分,还包括使用指南和禁忌症(即,出现问题时应注意的事项)。此外,正如我们都看到的新冠疫苗一样,这种类别的药物在批准使用之前必须经过密集的审查和测试。
后话
相关的措施具体应该如何实施,社区肯定还会有一段时间的争论,但是必要性不应受到质疑。在我们更好地控制软件供应链之前,我们仍然需要去面对各种安全问题。但随着时间的推移,我们的安全现状将会更加好!
2033
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
