在 最后发表 我们讨论了知识的重要性 软件包中包含哪些组件. 了解这一点有助于测试, 维护, 以及代码的安全性, 并将降低软件供应链安全问题给您的业务带来的风险.
在这篇文章中,我们将看看shbom——软件材料清单——以及它们如何通过识别软件组件来提供帮助.
什么是an ? SBOM?
SBOM本质上是一个机器可读的列表或目录,其中包含构建软件时使用的组件的细节和关系. sbm现在是美国政府采购的要求, 因此很有可能在各个行业蔓延开来. 虽然在英国还没有规定, 国家网络安全中心建议使用soms, 世界各地的同等机构也是如此.
什么是物料清单?
美国国家电信和信息管理局(NTIA)已经指定了SBOM的最小元素.
所以你, SBOM的使用者, 能有效地利用它们, 预计soms将至少包括:
供应商名称
组件名称和版本
帮助SBOM使用者(您)在关键数据库中查找组件的任何其他唯一标识符
依赖关系(通常是“包含”,例如,X包含组件Y)
作者名称(SBOM数据的作者,通常但不总是软件供应商)
时间戳(SBOM创建日期和时间)
How the SBOM was created (typically which tool; manual creation is possible, but time-consuming).
此外:
SBOM必须是三种格式之一,因此它可以是机器可读的
必须生成新的SBOM
随着每一个新的软件版本,所以它是最新的
如果原始版本包含错误
或者如果创建者了解了有关组件的更多信息
The SBOM should include all top-level components and all transitive dependencies; and the SBOM must also explain where dependency relationships probably exist but are not yet known.
可以包括的其他有用信息可能是,例如,许可状态.
什么 an的好处是什么 SBOM -作为制作人?
使用soms作为生产者意味着软件公司将能够:
通过理解依赖关系和识别产品中的潜在漏洞来改进开发和测试
可能会减少调用库的数量, 以及潜在漏洞的程度
展示对代码内容和质量的了解, 可能获得作为供应商的优惠待遇
什么 an的好处是什么 SBOM -作为消费者?
使用soms作为消费者意味着您将能够:
知道你得到了什么, 并通过对软件内容和依赖关系的共同理解来改进开发和测试
跟踪易受攻击的组件并计划补救措施以提高安全性
了解您在许可和使用外部代码组件方面的法律地位.
什么 其他的 do I 需要知道?
无论是消费者还是生产者,你都需要记住一些事情.
每当代码库发生变化时,都需要一个新的SBOM
SBOM包含敏感信息,因此存储和访问应该受到控制和安全
它们可能无法捕获所有依赖项,因此可能没有包含足够的信息来捕获代码库中的所有漏洞
它们并不总是按照相同的标准生产:它们可能并不总是符合NTIA的要求, 或者它们可能以不一致的方式产生(NTIA是美国国家电信和信息管理局的机构)
对于小型企业来说,它们不容易管理, 而且目前还没有一个成熟的生态系统, 尽管这种情况正在改变.
有什么建议吗?
在你的业务中可用的小故障可能很快失去控制, 因为每个新版本的软件都应该发布新版本. 控制文档泛滥的技巧包括:
创建中央存储库
Automate the generation and management of SBOMs if possible; there are an increasing range of tools available to help with this
考虑SBOM(存储和传输)的安全性,因为它包含可能用于攻击的敏感信息
作为企业的消费者
要求为所有输入的软件和软件组件(包括软件即服务应用程序)提供SBOM, 最大化您在存储库中创建的知识库的价值
积极分析所提供的信息,将其作为风险管理过程的一部分, 评估并降低软件供应链中的风险
作为sbm的创造者:
从三种标准格式中选择一种,并在使用哪种格式时保持一致
schedule regular updates to make sure that they are accurate and up to date; you should revise the relevant SBOM every time you create an update to the software
向您的SBOM中添加尽可能多的元数据,以使SBOM的使用者更容易使用它
use the SBOM to reduce the redundancies in your codebase; create a standard list of components
使用SBOM来验证您是否符合正在使用的组件的任何许可要求
Remember that an SBOM is primarily a catalogue of components; what you do with that catalogue will be the topic of our next blog post: how to make use of SBOMs.
如果你想了解更多信息, 或讨论CSP如何帮助您确保供应链的安全,或任何其他令您担忧的网络安全问题,请十大网博靠谱平台 0113 5323763.