为什么要关注软件材料清单(SBOM)

软件材料清单(SBOM)是在给定的代码库中找到的或在给定的软件构建中使用的所有软件组件的列表。为什么我们要关心SBOMs呢?SBOM本身并没有真正做任何事情，它只是达到目的的一种手段。SBOM作用的终点是更高的软件安全性和更安全的软件供应链。

让我们退后一步，了解为什么对SBOM的需求如此突然和紧迫。最近一次针对软件供应链的“大规模”攻击是在2021年12月发现的Apache Log4j漏洞。这一漏洞为无数入侵打开了大门，在此之前，备受瞩目的对太阳风的黑客攻击也造成了类似的破坏。

尽管SBOM不能直接阻止此类事情再次发生，但SBOM可以做的是准确地展示出软件中存在此类漏洞的位置，并使工作人员能够快速修补系统或阻止漏洞利用。有了软件材料清单，可以快速评估代码库中的风险，并根据需要来减轻这些风险。

SBOM通过对许可证，库，模块，应用补丁和其他组件进行审计来查找缺陷。但为了使此类审核可靠地跟踪用于构建软件的组件，SBOM应该具有某些属性。

• 每个软件组件的唯一标识
• 单独的标识(独立于组织内部使用的标识)，用于标识开发过程中涉及的每台计算机和用户
• 时间戳，便于跟踪每个更改或组件合并

此外，从安全角度来看，SBOM可靠性所必需的一个关键要素是防止对其进行未经授权的更改。最有效的方法是使用不可变的分类账，来记录每次更改的历史记录。

一旦SBOM的可靠性得到保证，DevSecOps团队就可以将其用作威胁扫描工具箱的一部分，从而提高软件的安全性。

毫无疑问，应该向软件供应商请求获得SBOM，并且应该考虑将SBOM与自己开发的软件一起创建。

SBOMs的好处和用例很多。它们在生产，选择和操作软件的相关者之间有所不同，并且在组合时会被放大。SBOMs 的用例包括更好的软件开发、供应链管理、漏洞管理、资产管理和高保证流程。好处包括降低成本，降低安全风险，许可证风险和合规风险。

关键词：开源安全 软件安全 软件供应链安全

文章来源：

https://devops.com