如今软件安全攻击技术手段不断升级,攻击数量显著增长。尤其是针对软件供应链的安全攻击,具有高隐秘性、追溯难的特点,对企业软件安全威胁极大。
同时,软件本身也在不断地更新迭代,软件内部成分安全性在持续变化浮动。如果软件内部组件来源、开源许可等信息的安全态势不清晰,将无法及时洞察到安全威胁,导致风险加剧。
软件物料清单(SBOM)的价值由此凸显。
国际上,已经很多国家把SBOM作为网络设备上市的安全审查项目之一,例如美国医疗器械上市FDA认证中,SBOM已成为重要的审核维度。
Gartner也曾预测, 到2025年,60%负责开发关键基础设施软件的组织,将在其软件工程实践中强制实施和标准化SBOM。SBOM将成为数字产品安全与合规工具箱中的重要工具。
那么,标准的SBOM都有哪些元素构成?如何生成SBOM呢?
01/ SBOM的基础元素
1、 基线属性
包含:软件版本、软件授权、引用组件名称、数量、生成方、组件版本、许可协议、组件来源、组件引用关系、组件调用位置、组件唯一标识、物料清单时间戳、物料清单唯一标识、生成阶段等
2、自动化支持
除了基线属性之外,SBOM还需支持自动化,包括通过自动生成和机器可读性,允许跨软件生态系统的扩展。用于生成和使用 SBOM 的数据格式包括 :SPDX、CycloneDX 和 SWID 标签。
3、 实践与流程
SBOM 请求、生成和使用的操作,包括频率、深度、已知的未知风险、分布和交付、访问控制和容错。
02/ SBOM生成指引
方式一: 0操作成本,安全专家一站式服务为您生成SBOM文件
网安云软件物料清单服务(推荐产品海外上市网络安全审查等企业)
1、安全需求咨询与服务方案制定
对客户实际应用场景与需求进行深入调研,根据需求制定服务方案,包含协定服务流程与产出交付物形态(例如文件格式、规范、需要符合何种法规等)。
2、第三方组件安全检测
自研第三方组件安全工具与安全专家分析相结合,产出软件第三方组件安全检测结果,根据需求可生成专业化检测报告。
3、 软件物料清单(SBOM)相关文件生成
导出国际三大物料清单格式,也可支持其他更多字段,满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求,导出文件机器可读。
软件物料清单文件:点击生成
方式二 : 自助生成,便捷式操作快速生成标准化SBOM文件
网安云软件物料清单管理平台(推荐有成熟开发团队且软件多样的企业)
1、一键安装,操作便捷
以一键安装插件的便捷方式,自动化、动态获取组件资产数据。无需繁琐部署或上传源代码,即可快速生成标准化的软件物料清单文件。
2、格式合规,机器可读
满足SPDX、OWASP CycloneDX和SCVS等三大国际认可的SBOM标准要求,确保文件格式有效、属性合规、机器可读。
3、可视化管理,安全可控
平台除了生成SBOM文件外,还运用强大的数据分析与图标可视化能力,还原软件内部成分信息之间层次、依赖关系,以及软件基本信息与安全信息之间的关联关系,为客户绘制可视化软件资产关系图表。
协助客户进行安全风险传导路径分析,当安全问题发生时可以快速溯源,圈定影响范围。
点此免费使用:软件物料清单管理平台