网安云Logo
icon_account
科普
软件物料清单(SBOM)生成指南 .pdf
2024-04-29 09:40:09
41
0
标准的SBOM都有哪些元素构成?如何生成SBOM呢?

如今软件安全攻击技术手段不断升级,攻击数量显著增长。尤其是针对软件供应链的安全攻击,具有高隐秘性、追溯难的特点,对企业软件安全威胁极大。

同时,软件本身也在不断地更新迭代,软件内部成分安全性在持续变化浮动。如果软件内部组件来源、开源许可等信息的安全态势不清晰,将无法及时洞察到安全威胁,导致风险加剧。

软件物料清单(SBOM)的价值由此凸显。

国际上,已经很多国家把SBOM作为网络设备上市的安全审查项目之一,例如美国医疗器械上市FDA认证中,SBOM已成为重要的审核维度。

Gartner也曾预测, 到2025年,60%负责开发关键基础设施软件的组织,将在其软件工程实践中强制实施和标准化SBOM。SBOM将成为数字产品安全与合规工具箱中的重要工具。

那么,标准的SBOM都有哪些元素构成?如何生成SBOM呢?

01/  SBOM的基础元素

1、 基线属性

包含:软件版本、软件授权、引用组件名称、数量、生成方、组件版本、许可协议、组件来源、组件引用关系、组件调用位置、组件唯一标识、物料清单时间戳、物料清单唯一标识、生成阶段等

2、自动化支持

除了基线属性之外,SBOM还需支持自动化,包括通过自动生成和机器可读性,允许跨软件生态系统的扩展。用于生成和使用 SBOM 的数据格式包括 :SPDX、CycloneDX 和 SWID 标签。

3、 实践与流程

SBOM 请求、生成和使用的操作,包括频率、深度、已知的未知风险、分布和交付、访问控制和容错。

02/ SBOM生成指引

方式一: 0操作成本,安全专家一站式服务为您生成SBOM文件

网安云软件物料清单服务(推荐产品海外上市网络安全审查等企业)

1、安全需求咨询与服务方案制定

对客户实际应用场景与需求进行深入调研,根据需求制定服务方案,包含协定服务流程与产出交付物形态(例如文件格式、规范、需要符合何种法规等)。

2、第三方组件安全检测

自研第三方组件安全工具与安全专家分析相结合,产出软件第三方组件安全检测结果,根据需求可生成专业化检测报告。

3、 软件物料清单(SBOM)相关文件生成

导出国际三大物料清单格式,也可支持其他更多字段,满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求,导出文件机器可读。

软件物料清单文件:点击生成

方式二 : 自助生成,便捷式操作快速生成标准化SBOM文件

网安云软件物料清单管理平台(推荐有成熟开发团队且软件多样的企业)

1、一键安装,操作便捷

以一键安装插件的便捷方式,自动化、动态获取组件资产数据。无需繁琐部署或上传源代码,即可快速生成标准化的软件物料清单文件。

2、格式合规,机器可读

满足SPDX、OWASP CycloneDX和SCVS等三大国际认可的SBOM标准要求,确保文件格式有效、属性合规、机器可读。

3、可视化管理,安全可控

平台除了生成SBOM文件外,还运用强大的数据分析与图标可视化能力,还原软件内部成分信息之间层次、依赖关系,以及软件基本信息与安全信息之间的关联关系,为客户绘制可视化软件资产关系图表。

协助客户进行安全风险传导路径分析,当安全问题发生时可以快速溯源,圈定影响范围。

点此免费使用:软件物料清单管理平台​

item.title
安全专家服务
item.title
专业售后支持
item.title
1V1大客户服务
item.title
7 * 24小时

热门产品

支持服务

控制台
在线支持

快速入门

文档中心

法律协议

网安云平台服务协议
网安云平台隐私政策

关注或联系我们

公众号二维码
添加网安云公众号,关注热门产品资讯。
联系我们联系我们
客服
免费试用
获取资源