网安云Logo
icon_account
产品
软件物料清单:打开软件资产黑匣子的关键钥匙
2023-12-21 14:10:35
305
1
开源网安软件物料清单管理平台,以软件/组件来源、版本等基本信息与 软件内部组成成分信息 为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。运用强大的数据分析、多维数据可视化能力,让组件安全问题无所遁形。

大家有没有遇到过,使用的手机被免费召回维修的情况?


小编之前就遇到过,手机购买半年后,突然收到苹果官方发布的通知:听筒模块上的某个组件可能会发生故障,会出现拨打或接听电话时听筒发不出声音的问题。随即小编登记预约了免费维修。


类似的产品召回,在其他行业也有出现过:例如前几年,就有不少汽车因安全气囊问题被大规模召回


当产品制造商发现零部件存在潜在或已知安全风险的时候,会及时向客户进行定向召回维修,避免造成更大的安全问题。


即使是第三方供应商提供的零件,也在召回维修的范围内。因为第三方供应的零部件也是属于产品的一部分,一旦发生问题,同样会给品牌带来难以挽回的名誉和业务损失。


而类似的安全隐患之所以能及时被发现、产品之所以能快速被召回,都是因为产品制造商,对于每个产品都有明晰的物料清单(BOM)


当某个“零配件”存在安全隐患时,产品制造商通过这个物料清单,就能快速确认该“零配件”被应用到哪个批次、版本的产品上,及时通知到对应的客户,降低因为产品安全问题带来的损失。


而在软件安全领域,同样存在类似的技术服务去帮助企业高效、安全管理软件资产,被称之为软件物料清单”(SBOM)


01/什么是软件物料清单(SBOM)?


指软件产品中所包含的所有组件、相关许可协议的清单,以及所有组件之间依赖关系的描述。


SBOM在国际上有三大规范标准格式,分别是SPDX、CycloneDX和SWID。


下表为基线组件信息对应现有的格式:


(图片内容源自:中国信通院)


02/为什么要做软件物料清单管理


1. 提升软件系统安全性


通过对软件内部组成成分 的精细化拆解与风险关联,打开软件这个“黑匣子”,让潜在安全脆弱点浮出水面,帮助企业降低软件安全风险,提高软件系统的安全性。


2. 促进软件安全合规


漏洞管理与资产管理 提供详细的组件/许可合规性信息,便于企业进行资产盘点,提升软件合规性,降低合规风险,减轻企业履行合规义务的负担。


3. 增强企业业务竞争优势


通过提供清晰的SBOM(软件物料清单),帮助企业向客户、监管机构和其他利益相关者展示软件的质量和可靠性。增强客户信任度,形成业务竞争优势。


4. 降低企业安全成本


对已用许可/组件等安全性、合规性的呈现,将大大提高开发人员组件选型的效率


同时,提高软件成分及安全的透明度,减少开发人员与安全人员的风险排查时间成本,加速开发进程。


03/如何做好软件物料(资产)管理?


网安云软件物料清单管理平台,以软件/组件来源、版本等基本信息与 软件内部组成成分信息 为基础,动态关联外部安全漏洞情报,对企业软件资产进行安全跟踪与管理。


运用强大的数据分析、多维数据可视化能力,让组件安全问题无所遁形。


1. 精细化软件物料(资产)管理


“颗粒度”不同,对问题的“洞见力”就不同。


传统的软件资产管理,更多地停留在软件版本、类型、名称、供应商等维度,对软件内部成分信息模糊,软件资产成为一个“黑匣子”,看不清摸不透,安全不可控。


因此,在软件资产管理上,亟需细化对软件内部成分信息(包括但不限于:内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等)的梳理与可视化展示。降低软件资产的“模糊性”,帮助企业快速摸清家底。


2. 系统化软件安全风险管理


随着软件定义一切的时代来临,软件安全威胁的传播性、隐匿性越来越强,亟需以全局性、关联性视角考虑软件安全风险管理。


开源网安软件物料清单管理平台,具备强大的数据分析与可视化能力,还原软件内部成分信息之间层次、依赖关系,及其存在的安全风险,绘制可视化关系图表。协助客户进行安全风险传导路径分析,快速溯源,圈定影响范围。


3. 可视化、动态化管控软件资产


通过采集软件安全分析所需的各类静态和动态数据,形成统一的软件资产风险视图。将抽象、不具体的软件资产安全态势可视化、数字化呈现。


同时,网安云软件物料清单管理平台通过对软件组成成分实时采集与分析,业务无感知,帮助企业及时获取最新的软件安全态势信息,根据内外部安全环境的变化快速调整安全策略,提高安全风险应急能力。


4. 标准化软件物料清单


通过“识别组件-获取数据-构造SBOM”三大步骤,输出标准化的SBOM文件,确保文件格式有效、属性合规。


网安云软件物料清单管理平台,严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准。

item.title
安全专家服务
item.title
专业售后支持
item.title
1V1大客户服务
item.title
7 * 24小时

热门产品

支持服务

控制台
在线支持

快速入门

文档中心

法律协议

网安云平台服务协议
网安云平台隐私政策

关注或联系我们

公众号二维码
添加网安云公众号,关注热门产品资讯。
联系我们联系我们
客服
免费试用
获取资源