為什么要關(guān)注軟件材料清單(SBOM)

軟件材料清單(SBOM)是在給定的代碼庫中找到的或在給定的軟件構(gòu)建中使用的所有軟件組件的列表。為什么我們要關(guān)心SBOMs呢?SBOM本身并沒有真正做任何事情，它只是達(dá)到目的的一種手段。SBOM作用的終點(diǎn)是更高的軟件安全性和更安全的軟件供應(yīng)鏈。

讓我們退后一步，了解為什么對SBOM的需求如此突然和緊迫。最近一次針對軟件供應(yīng)鏈的“大規(guī)?！惫羰窃?021年12月發(fā)現(xiàn)的Apache Log4j漏洞。這一漏洞為無數(shù)入侵打開了大門，在此之前，備受矚目的對太陽風(fēng)的黑客攻擊也造成了類似的破壞。

盡管SBOM不能直接阻止此類事情再次發(fā)生，但SBOM可以做的是準(zhǔn)確地展示出軟件中存在此類漏洞的位置，并使工作人員能夠快速修補(bǔ)系統(tǒng)或阻止漏洞利用。有了軟件材料清單，可以快速評估代碼庫中的風(fēng)險(xiǎn)，并根據(jù)需要來減輕這些風(fēng)險(xiǎn)。

SBOM通過對許可證，庫，模塊，應(yīng)用補(bǔ)丁和其他組件進(jìn)行審計(jì)來查找缺陷。但為了使此類審核可靠地跟蹤用于構(gòu)建軟件的組件，SBOM應(yīng)該具有某些屬性。

• 每個(gè)軟件組件的唯一標(biāo)識
• 單獨(dú)的標(biāo)識(獨(dú)立于組織內(nèi)部使用的標(biāo)識)，用于標(biāo)識開發(fā)過程中涉及的每臺計(jì)算機(jī)和用戶
• 時(shí)間戳，便于跟蹤每個(gè)更改或組件合并

此外，從安全角度來看，SBOM可靠性所必需的一個(gè)關(guān)鍵要素是防止對其進(jìn)行未經(jīng)授權(quán)的更改。最有效的方法是使用不可變的分類賬，來記錄每次更改的歷史記錄。

一旦SBOM的可靠性得到保證，DevSecOps團(tuán)隊(duì)就可以將其用作威脅掃描工具箱的一部分，從而提高軟件的安全性。

毫無疑問，應(yīng)該向軟件供應(yīng)商請求獲得SBOM，并且應(yīng)該考慮將SBOM與自己開發(fā)的軟件一起創(chuàng)建。

SBOMs的好處和用例很多。它們在生產(chǎn)，選擇和操作軟件的相關(guān)者之間有所不同，并且在組合時(shí)會被放大。SBOMs 的用例包括更好的軟件開發(fā)、供應(yīng)鏈管理、漏洞管理、資產(chǎn)管理和高保證流程。好處包括降低成本，降低安全風(fēng)險(xiǎn)，許可證風(fēng)險(xiǎn)和合規(guī)風(fēng)險(xiǎn)。

關(guān)鍵詞：開源安全 軟件安全 軟件供應(yīng)鏈安全

文章來源：

https://devops.com