评估软件物料清单(SBOM)是否实用,主要考量:是否符合标准规范、是否能全面精准识别软件成分信息,以及是否具备“互操作性”。

01/互操作性

SBOM 是静态文档。所以,如果企业使用SBOM只是为了检查软件,除此之外什么也不做,那么从软件SBOM中获得的价值就非常有限。

SBOM的使用,重点在于发挥它的“互操作性”,让其加入到软件供应链的风险管理中去。

接下来,将为大家详细展开:“可操作性”的SBOM,在软件供应链安全风险管理中的三大应用方向:集中管理、风险定位、安全告警。

1.集中管理

随着社会分工的细化,以及技术的复杂化,企业为满足高效高质完成产品迭代的需求,将大部分软件的研发和方案编写、实施交给了相关的专业厂商。

尤其是大型企业,软件供应商数量众多,不同供应商软件内部组成成分、来源、安全状态都存在较大的差异。这时,则需要供应商们提供标准统一的SBOM文件,并通过系统对SBOM进行集中管理。

2. 风险定位

当被广泛开发者应用的组件存在新的0day漏洞时,企业可以通过查询旗下所有软件系统的SBOM,进而从大量软件中定位到引用了该组件的所有软件系统

但是,当软件数量达到上百数千个的时候,手动的检查操作显然不现实。因此,倘若通过一个界面,便可快速从成千上万个软件的SBOM中,定位到引用了目标组件的软件,企业的软件供应链风险管理能力将得到显著提升。

3. 安全告警

企业还可将SBOM与威胁情报、漏洞管理系统进行集成,以便在新的零日漏洞浮出水面时,可以快速、自动化定位到存在安全风险的软件应用,进行及时安全告警,推送给软件供应链安全管理员。

02/标准化

要使 SBOM 能被广泛应用,且能被自动读取,其交换格式则必须符合标准规范。

业界常用的两个标准是SPDX和CycloneDX。这些标准旨在建立SBOM输出的统一性,避免不同工具输出同一软件的SBOM结果不一致的情况。

这些格式可以定制为:包含、排除或链接到某些信息,例如许可证、版权和漏洞,具体取决于用例和垂直行业。

需要注意的是,SPDX和CycloneDX只是描述SBOM文件结构的标准,但不代表展示的信息是完全准确或全面的

如果在SBOM生成过程,工具输入了错误信息,就算最终输出的SBOM文件格式是标准的,但输出的信息也是有误的。

03/全面性

许多软件应用程序最大的攻击面都是由开源组件组成。开源组件安全影响范围之广,我们从Log4j 这个史诗级漏洞事件中,就可清晰了解到。

所以,对于大多数组织来说,保护软件供应链和信息基础架构,优先级最高的措施就是:快速识别和修复开源软件漏洞

很多人都认为, SBOM 只是一个开源软件(OSS)库存。所以,大多数软件组件分析(SCA)供应商在生成的SBOM中,只列出了OSS组件,以及不同级别的传递依赖关系。

但仅仅考虑OSS是不够的,因为其他非开源软件组件也可能成为软件供应链安全隐患。系统漏洞可能源于所有类型的代码,而不仅仅是开源。

所以,拥有一个能详细展示软件内部所有成分(包括自定义代码、开源组件和第三方非 OSS 组件等)的SBOM,至关重要。

04/SBOM不是灵丹妙药

一个完整的SBOM,尽管非常重要,但也只是软件供应链风险管理中的一小部分。

就像我们吃东西一样,我们同样也会考虑食品加工制作的全流程,是否存在危害健康的隐患。例如:我们除了考虑食品制作原料是否存在未知成分之外,还会关注其违反了卫生管理规定等等其他各种各样的问题。

软件供应链安全治理,同样的也是一件复杂的事情。

确保软件产品可以安全使用,需要做好软件供应链全流程的管控,而不仅仅是拥有 SBOM。

原文链接:Building a Better SBOM

原作者:Anita D’Amico(VP of Cross-Portfolio Solutions and Strategy, Synopsys Software Integrity Group)

(*本文为翻译文,为了提升中文场景下读者阅读体验,做了语句、段落表达优化与调整,如若侵权请联系本号处理。)

-网安云·软件物料清单管理平台

网安云基于开源网安成熟的SCA(软件成分分析)技术能力,深度研发具备全面性、标准化、“互操作性”,且高自动化高可视化的SBOM管理工具——软件物料清单管理平台。

(点击免费试用)

01 全面性SBOM梳理

本平台除了对软件版本、类型、名称、供应商等基本信息进行管理之外,增加对软件内部成分信息(包括但不限于:内部引用组件、许可的版本、来源、调用位置、依赖关系、层次关系等)的梳理与可视化展示。大大降低软件资产的“模糊性”,帮助企业快速摸清家底。

02 安全风险快速溯源

开源网安SBOM管理平台,运用强大的数据分析与图标可视化能力,还原软件内部成分信息之间层次、依赖关系,以及软件基本信息与安全信息之间的关联关系,绘制可视化关系图表。协助客户进行安全风险传导路径分析,快速溯源,圈定影响范围。

03 软件资产动态化管控

实现数据实时采集与分析,秒级的延时粒度,帮助企业及时获取最新的软件安全态势信息,根据内外部安全环境的变化快速调整安全策略,提高安全风险应急能力。

04 软件物料清单标准化

平台严格遵循软件包数据交换(SPDX)标准、OWASP CycloneDX和软件组件验证(SCVS)标准等三大类国际认可的软件物料清单标准,通过“识别组件-获取数据-构造SBOM”三大步骤,输出标准化的SBOM文件,确保文件格式有效、属性合规。

现平台可免费试用,欢迎咨询。