SBOM,再次现身白宫开源软件网络安全峰会

时间:2020-10-10 浏览:1110

        2022年1月13日,美国联邦机构联合谷歌、亚马逊等一众科技公司,基于Log4j漏洞开展了一场关于开源软件安全问题的重要讨论。不得不提到的是 ,这次会议明确指出了改进软件安全和提升软件供应链的透明度是解决这类风险的关键要素。

        的确,近年来软件安全事件愈演愈烈,安全事件的频频爆发,引发行业对软件供应链安全愈来愈高的关注。安全风险之所以难以防范,归其原因,一是业界还没有一套完善的风险防范机制, 二是安全风险本身传播性强且隐蔽性高 。我们往往是在问题发生之后才着力去解决,且解决的过程长且复杂。

        想要减少软件供应链安全风险,一方面,企业需要构建软件资产透明化的意识,在漏洞披露时及时地进行响应排查以及快速的安全修复。另一方面,离不开专业的风险识别工具来支撑,这可以针对全周期的安全问题进行排查。

 

SBOM物料清单的底层逻辑和顶层设计

        SBOM即Software Bill Of Materials,是BOM概念在软件领域的应用展现,即构成软件程序和应用程序的成分列表。

        SBOM的出现有其必要性。

        一方面离不开软件供应链安全这一底层逻辑。 

        从行业现状来看,各行各业代码库中的开源代码数量占比率居高不下,这些问题一旦发生治理难度较大,因此需要借助SBOM工具的支撑让应用程序组件透明化。

        从软件成分角度来看,一款现代应用程序的60%-90%均来自开源软件或开源组件。 这都需要使用SBOM来提前识别软件组件问题和风险。从软件和组件的关系来看,借助SBOM建立完整的软件与组件链路关系,可以实现链路的上下游可达分析,实现高效的问题定位及影响分析。

        加强软件SBOM建设,对于整个产业在知识产权、风险控制、软件风险持续跟踪、软件管理等方面均有重大意义。

        另一方面,也离不开一系列国家战略层面的顶层设计。 

        供应链安全的重要性,引起了全球许多国家政府的广泛关注。例如:美国白宫在当地时间2022年1月13日开展了一次重要的科技安全峰会,这次峰会延续了去年5月的网络安全行政令。更明确地指出,只有使用安全软件开发生命周期实践并符合特定联邦安全指南的公司才能向联邦政府出售产品。会议还特意提到,联邦供应商可以使用SBOM,列举特定软件组件的综合列表,以优化破坏性漏洞披露后的手动识别过程。

        我国高度重视软件供应链安全问题,不断建立健全法律法规、标准制度。为应对国内外软件供应链安全威胁,近年来我国先后颁布的《中华人民共和国网络安全法》《网络安全审查办法》《中华人民共和国 国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》《关键信息基础设施安全保护条例》等政策法规强调加强软件供应链的安全保障。

 

我国软件安全政策颁发历程

 

多年技术沉淀,开源网安SBOM平台上线

        2021年12月22日,开源网安SBOM平台正式上线!这是开源网安在软件安全领域的又一重磅展现。

        开源网安SBOM平台是提供软件成分分析和生成软件物料清单的服务平台,该平台集成千万级的开源组件库信息和数十万级漏洞库信息,支持15种以上常用语言包的检测。通过平台生成SBOM清单,可以帮助使用者提高软件的透明度,提前识别开源组件安全风险,并根据风险提供相应的影响分析和采取相应的预警措施,助力使用者做好软件供应链安全。

        在承载方式上,SBOM的承载载体一是以表格方式Excel来承载,建立一个完整的呈现;二是用结构化方式则由JSON或者XML承载,清晰地表达出软件物料清单的逻辑、安全内容,组成成分。

        在常用标准和规范上,SBOM支持三种标准规范:OWASP CycloneDX、 SPDX、SWID,这三个标准的本质都是通过结构化的信息输出,让计算机可读,能够做存量。

        在内容上,SBOM可以拥有更多信息,包括依赖信息。以目前最常见的一个轻量级物料清单标准OWASP CycloneDX 为例,图中显示了SBOM所包含的大量信息,全面且深入。

 

        除了这些,该平台还支持通过线上和线下两种方式生成软件物料清单,并支持随时下载,为企业赋能更便捷的产品服务。

        截止到目前,开源网安SBOM凭借丰富的产品功能和优质的产品体验,已经成功吸引了400+企业用户的入驻,扫描项目数达1600+,SBOM生成数1900+。 未来,开源网安SBOM清单会成为更多企业软件供应链安全的管理助力。 

 

安全管控的关键

        具体到实际工作中SBOM技术是如何落地的呢?

        针对这一问题,业界普遍认同的是做软件全生命周期的SBOM管控,通过一些特定的工具和流程来自动化完成,输出SBOM清单,规避相应风险。

 

        除了整体流程的把控,其落地的方式也同样重要。开源网安认为SBOM工具落地的具体流程主要分成这四个阶段。

 

  • 引入:通过SBOM了解采购的商用软件的安全及合规性,建立引入流程和规范,避免不符合安全合规性的组件进入;

  • 使用:通过SBOM可以实时有效地监控应用中的组件,当发现安全问题时或组件信息变更时,可以进行预警;

  • 更新:当发现有新的漏洞预警时,可以进行更新升级,并把更新后的组件信息同步到SBOM中,用于后续的持续跟踪;

  • 退出:当发现不符合安全合规性的组件,需要做退出,退出后的组件生成新的SBOM清单。

 

        基于这样全面的安全流程把控,企业的软件安全风险就可以大大降低,再加上一系列持续运营的动作,比如:在企业管理层面,建立完善的相关制度和培训体系,推动SBOM常态化、自动化运转;在员工层面,要培养安全意识,加强观念输入。基于这些,才可以将SBOM对企业的助力有效发挥并真正落地。 

 

SBOM造就了双赢,时代造就了SBOM

        SBOM作为软件供应链战略管理的一部分,对软件安全的提升有着不可或缺的重要作用。从长远来看,SBOM的应用和落地不仅仅对软件供应商有帮助,对企业客户也有好处。

        对软件供应商来说,不仅可以让软件资产透明化,提升问题追溯和处理的效率,提高企业的风险应急能力。同时,对企业客户来说,安全、透明的交付物,可以让他们在第一时间就感知到产品的质量和安全。

        SBOM从某种角度上来说是一种企业软件风险管控的思路,但是其本质上是软件行业精细化发展、有序化运营过程必然会产生的关键产物。

        这是时代的选择,也是软件安全行业的重大进步。

 

返回列表