网安云Logo
icon_account
科普
构建有价值的SBOM,需要从这三点出发
2024-03-21 14:43:53
82
0
评估软件物料清单(SBOM)是否实用,主要考量其是否符合标准规范、是否能全面精准识别软件成分信息,以及是否具备互操作性。这也是我们行业一直以来,为之努力打造的、强有力应对软件供应链安全的SBOM方案三个思路。

SBOM


01 标准化


要使 SBOM 能被广泛应用,并且能被自动读取,其交换格式则必须符合标准规范。


业界常用的两个标准是 SPDX 和 CycloneDX。这些标准旨在建立SBOM输出的统一性,以便当使用两个不同的 SBOM 生成工具,生成同一软件的 SBOM 时,他们能产生相同的结果。


这些格式可以定制为:包含、排除或链接到某些信息,例如许可证、版权和漏洞,具体取决于用例和垂直行业。


需要注意的是,SPDX 和 CycloneDX 只是描述 SBOM 文件结构的标准,但不代表展示的信息是完全准确或全面的。一旦 SBOM 在生成过程,工具将错误信息输入,最终输出的SBOM文件虽然格式标准,但信息也是有误的。


02 全面性


几乎所有的软件应用程序中,最大的攻击面都是由开源组件组成。开源组件安全影响范围之广,我们从史诗级漏洞Log4j 漏洞事件中就可清晰了解到。


所以,对于大多数组织来说,保护软件供应链和信息基础架构,优先级最高的措施就是:快速识别和修复开源软件漏洞。


很多人都认为, SBOM 只是一个开源软件(OSS)库存。所以,大多数软件组件分析(SCA)供应商在生成的SBOM中,只列出了OSS组件,以及不同级别的传递依赖关系。但是仅仅考虑OSS是不够的,因为其他非开源软件组件也可能成为软件供应链安全隐患。系统漏洞可能源于所有类型的代码,而不仅仅是开源。


所以,拥有一个能详细展示软件内部所有成分(包括自定义代码、开源组件和第三方非 OSS 组件等)的SBOM,至关重要。



03 互操作性


SBOM 是静态文档。所以,如果企业使用SBOM只是为了检查软件,除此之外什么也不做,那么从软件SBOM中获得的价值就非常有限。SBOM的使用,重点在于发挥它的“互操作性”,让其加入到软件供应链的风险管理中去。


接下来,将为大家详细展开:“可操作性”的SBOM,在软件供应链安全风险管理中的三大应用方向:集中管理、风险定位、安全告警。


1. 集中管理


随着社会分工的细化,以及技术的复杂化,企业为满足高效高质完成产品迭代的需求,将大部分软件的研发和方案编写、实施交给了相关的专业厂商。


尤其是大型企业,软件供应商数量众多,不同供应商软件内部组成成分、来源、安全状态都存在较大的差异。这时,则需要供应商们提供标准统一的SBOM文件,并通过系统对SBOM进行集中管理。


2. 风险定位


当被广泛开发者应用的组件存在新的0day漏洞时,企业可以通过查询旗下所有软件系统的SBOM,进而从大量软件中定位到引用了该组件的所有软件系统。


但是,当软件数量达到上百数千个的时候,手动的检查操作显然不现实。因此,倘若通过一个界面,便可快速从成千上万个软件的SBOM中,定位到引用了目标组件的软件,企业的软件供应链风险管理能力将得到显著提升。


3. 安全告警


企业还可将SBOM与威胁情报、漏洞管理系统进行集成,以便在新的零日漏洞浮出水面时,可以快速、自动化定位到存在安全风险的软件应用,进行及时安全告警,推送给软件供应链安全管理员。


04 SBOM不是灵丹妙药


一个完整的SBOM,尽管非常重要,但也只是软件供应链风险管理中的一小部分。


就像我们吃东西一样,我们同样也会考虑食品加工制作的全流程,是否存在危害健康的隐患。例如:我们除了考虑食品制作原料是否存在未知成分之外,还会关注其违反了卫生管理规定等等其他各种各样的问题。软件供应链安全治理,同样的也是一件复杂的事情。


确保软件产品可以安全使用,需要做好软件供应链全流程的管控,而不仅仅是拥有 SBOM。


网安云SBOM管理平台: https://wanyun.cn/Product/SBOM


本文为外文翻译,原文为:Building a Better SBOM


item.title
安全专家服务
item.title
专业售后支持
item.title
1V1大客户服务
item.title
7 * 24小时

关注或联系我们

公众号二维码
添加网安云公众号,关注热门产品资讯。
联系我们联系我们
客服
免费试用
获取资源