美国网络安全与基础设施安全局发布了第三版软件供应链透明度指南,旨在提高软件组件供应链的透明度。
指南第一版于2019年发布,第二版于2021年更新,第三版进一步定义和明确了SBOM属性。指南的目标是通过描述和共享SBOM,提高软件供应链的透明度。- 增强漏洞管理和事件响应流程:通过提高软件供应链的透明度,可以更好地管理和响应漏洞。
- 减少复杂供应链中的非计划和低效工作:通过数据标准化,减少重复工作。
- 识别可疑或假冒的软件组件:通过标准化的SBOM,更容易识别和管理这些组件。
- 通过透明度提高安全软件开发实践的问责制:确保软件开发过程的透明度和责任分配。
强调了SBOM在提升软件供应链透明度和安全性的关键作用,通过标准化和自动化SBOM的创建和交换,可以显著降低软件开发和运维的成本和风险。SBOM(软件物料清单)是一个正式的、机器可读的软件组件及其依赖关系的清单,包含这些组件的信息及其关系。SBOM的清单应尽可能全面,能够明确指出无法表达的关系。SBOM可以包括开源或商业许可的软件,可以广泛可用或受访问限制以保护专有或敏感信息。SBOM应在软件组件发布时创建,通常对应于构建、打包或部署活动。当组件更新或版本化时,即添加新的上游组件时,应创建新的SBOM。组件的更改通常以更新、升级、发布和修复的形式表示。理想情况下,组件的更改应通过版本字符串属性的变化来指示。即使组件本身没有变化,当新的SBOM信息可用时,原始SBOM可能需要更新。
SBOM的创建应作为供应商软件构建和打包过程的一部分。任何创建、修改、打包和交付软件或软件系统的实体都被视为供应商,并负责定义组件和创建SBOM,包括系统集成商和内部开发组件的组织。SBOM信息的交换是必要的。主要的交换方式是供应商直接通过单一的下游供应链链接向消费者提供SBOM。作为交付组件的一部分,供应商也应提供SBOM,或提供消费者可以轻松获取SBOM的手段,如URL或其他参考。这种直接交付并不排除供应商、消费者或其他方对SBOM信息的聚合或编目。由于不同软件和设备生态系统的需求多样,单一的SBOM交换机制可能不足以满足所有需求。SBOM可以作为组件分发或交付的一部分提供为附加文件。对于存储和电源受限的设备,可以提供一个URL来在供应商网站上查找SBOM信息。SBOM的交换需要遵循结构化数据格式和交换协议,以支持机器可读性和自动化。通过SBOM,可以增强软件库存管理、许可证管理和供应链透明度,从而降低风险和成本。![]()
数据建设
![]()
电话:010-84645772
网站:www.milthink.com
