一、SBOM的發(fā)展趨勢(shì)

數(shù)字時(shí)代，軟件已經(jīng)成為維持生產(chǎn)生活正常運(yùn)行的必備要素之一。隨著容器、中間件、微服務(wù)、 DevOps等技術(shù)理念的演進(jìn)，軟件行業(yè)快速發(fā)展，但同時(shí)帶來軟件設(shè)計(jì)開發(fā)復(fù)雜度不斷提升，軟件供應(yīng)鏈愈發(fā)復(fù)雜，軟件整體透明度下降，軟件供應(yīng)鏈安全防護(hù)難度不斷加大。

由于缺少對(duì)軟件資產(chǎn)的最小要素管理，每當(dāng)環(huán)境中出現(xiàn)新的漏洞時(shí)，我們通常需要花費(fèi)大量時(shí)間和精力來檢測(cè)環(huán)境中運(yùn)行的應(yīng)用程序和服務(wù)的真正影響。如果我們可以枚舉我們使用和生產(chǎn)的所有軟件組件，并且輕松地分發(fā)和使用它，那么就可以極大地提高對(duì)軟件資產(chǎn)的精細(xì)管理，以及對(duì)突發(fā)漏洞的影響面快速定位分析。

SBOM可以幫助我們解決以上問題。

開源社區(qū)十多年前開源社區(qū)就注意到創(chuàng)建SBOM的必要性，2010年SPDX開放標(biāo)準(zhǔn)開始作為解決該問題的初步方案。

圖一 數(shù)字供應(yīng)鏈下愈發(fā)復(fù)雜的應(yīng)用資產(chǎn)構(gòu)成

SBOM是為了提升供應(yīng)鏈透明度而記錄其軟件組成等信息的工程文件，對(duì)降低供應(yīng)鏈維護(hù)和保障的工作量及難度意義重大。隨著軟件供應(yīng)鏈安全成為關(guān)注焦點(diǎn)，特別是2021年美行政令EO14028要求包括NIST在內(nèi)的多個(gè)機(jī)構(gòu)通過與軟件供應(yīng)鏈的安全性和完整性相關(guān)的各種舉措來增強(qiáng)網(wǎng)絡(luò)安全，SBOM的推廣和落地也變得尤為迫切。

理想情況下，產(chǎn)品的供應(yīng)商應(yīng)該告訴我們每個(gè)組件，并以數(shù)字簽名文檔的形式提供，以防止篡改或修改。但是SBOM在使用推廣過程中并不順利，特別是在國(guó)內(nèi)沒有自主協(xié)議框架的情況下。多數(shù)情況下，上游每個(gè)組件生成 SBOM 的最佳方法仍然不統(tǒng)一，這會(huì)導(dǎo)致SBOM不完整或不準(zhǔn)確；更不用說不同的現(xiàn)有格式（CycloneDX、SPDX、SWID）和缺乏標(biāo)準(zhǔn)化的分發(fā)機(jī)制，這使得 SBOM 的消費(fèi)變得相當(dāng)困難。

除了SBOM協(xié)議不統(tǒng)一、數(shù)據(jù)字段不一致以外，大多廠商只有在生產(chǎn)環(huán)節(jié)生成SBOM，沒有分發(fā)和使用，更無法在供應(yīng)鏈中形成鏈接的鏈條。SBOM未來的方向是分發(fā)、驗(yàn)證、集中數(shù)據(jù)和使用數(shù)據(jù)。

二、SBOM主流協(xié)議的風(fēng)險(xiǎn)

SBOM應(yīng)該是機(jī)器可讀的格式，同時(shí)也是易于人類可讀，國(guó)外主流的SBOM格式有三種：

1.?Software Package Data Exchange（SPDX）

??Linux基金會(huì)主推的格式；許可證：cc-by-3.0

??已經(jīng)完成標(biāo)準(zhǔn)化工作，標(biāo)準(zhǔn)號(hào)：ISO/IEC 5962。

2.?CycloneDX

??OWASP基金會(huì)主推的格式；許可證：apache-2.0

??尚未完成標(biāo)準(zhǔn)化工作。

3.?Software Identification（SWID）

??NIST主推的格式；

??已經(jīng)完成標(biāo)準(zhǔn)化工作，標(biāo)準(zhǔn)號(hào)：ISO/IEC 19770。

圖二 ?linux和owasp基金會(huì)部分條款

當(dāng)下看主流協(xié)議的許可證似乎并無斷供風(fēng)險(xiǎn);但是作為L(zhǎng)inux、OWASP基金會(huì)下的項(xiàng)目，如果違反了基金會(huì)的條款，基金會(huì)有可能會(huì)阻止訪問項(xiàng)目。

目前我國(guó)在軟件供應(yīng)鏈安全物料清單管理方面的基礎(chǔ)比較薄弱，缺乏統(tǒng)一標(biāo)準(zhǔn)規(guī)范，限制了軟件物料信息的共享和數(shù)據(jù)交換。隨著國(guó)內(nèi)外軟件供應(yīng)鏈安全法規(guī)和實(shí)踐標(biāo)準(zhǔn)的逐步落地，自有SBOM的推廣應(yīng)用將有效提升軟件供應(yīng)鏈透明度，極大地便利軟件組件溯源、軟件產(chǎn)品依賴關(guān)系梳理、已知漏洞的影響范圍判斷、及時(shí)發(fā)現(xiàn)惡意軟件滲透等，從而有力支撐軟件供應(yīng)鏈相關(guān)監(jiān)管政策規(guī)則的落地實(shí)施。

三、DSDX協(xié)議的組成要素

DSDX（Digital Supply-chain Data Exchange）SBOM格式由OpenSCA社區(qū)主導(dǎo)發(fā)起，匯聚開源中國(guó)、電信研究院、中興通訊等權(quán)威研究機(jī)構(gòu)、甲方用戶、安全廠商多方力量，共同適配中國(guó)企業(yè)實(shí)戰(zhàn)化應(yīng)用實(shí)踐場(chǎng)景。作為國(guó)內(nèi)首個(gè)數(shù)字供應(yīng)鏈安全SBOM格式，DSDX目標(biāo)是成為數(shù)字供應(yīng)鏈安全治理與運(yùn)營(yíng)的核心技術(shù)抓手，以助力行業(yè)及產(chǎn)業(yè)從軟件供應(yīng)鏈安全向數(shù)字供應(yīng)鏈安全過渡升級(jí)，使每個(gè)軟件公司都可以將SBOM 附加到每個(gè)可交付成果，并且每個(gè)人都可以完全了解軟件中使用的組件，并確切地知道哪些漏洞正在影響該軟件。

DSDX規(guī)范文檔由基本信息、項(xiàng)目信息、對(duì)象信息、代碼片段信息及依賴信息這幾部分構(gòu)成。

1)SBOM 清單信息：清單名稱、ID、創(chuàng)建者、清單版本、創(chuàng)建階段、創(chuàng)建時(shí)間等

2)項(xiàng)目基本信息：項(xiàng)目名稱、宿主環(huán)境信息、運(yùn)行時(shí)環(huán)境信息、EAR 信息等

3)組件信息：組件名稱、ID、廠商、組件來源、組件類型、置信度、校驗(yàn)碼、語言、依賴關(guān)系、依賴數(shù)量、依賴路徑等

4)代碼文件信息：名稱、ID、校驗(yàn)碼、路徑、相似文件來源、相似度

5)代碼片段信息：ID、來源文件 ID、校驗(yàn)碼、代碼片段位置、相似代碼片段來源、相似度

6）依賴樹信息：以 K-V 形式保存的項(xiàng)目完整依賴關(guān)系圖（在任何情況下，SBOM 都應(yīng)該捕獲多級(jí)依賴關(guān)系）

7）備注信息：其他備注信息

DSDX兼容SPDX、CycloneDX、SWID國(guó)際標(biāo)準(zhǔn)和國(guó)內(nèi)標(biāo)準(zhǔn)，但不止于主流規(guī)范，在最小元素集基礎(chǔ)上擴(kuò)展其他元素。DSDX重點(diǎn)引入了運(yùn)行環(huán)境信息、創(chuàng)建階段和供應(yīng)鏈流轉(zhuǎn)信息，加強(qiáng)了清單間的互相引用，并實(shí)現(xiàn)最小集/擴(kuò)展集的靈活應(yīng)用，深度支持代碼片段信息的存儲(chǔ)及追蹤，為企業(yè)用戶提供整個(gè)數(shù)字供應(yīng)鏈基礎(chǔ)設(shè)施視角的落地治理實(shí)踐。

四、DSDX協(xié)議支持的生命周期

懸鏡DSDX覆蓋數(shù)字供應(yīng)鏈全場(chǎng)景（CreateStage），涵蓋源碼、二進(jìn)制、鏡像、預(yù)發(fā)布、發(fā)布等不同階段的物料清單，對(duì)組件、漏洞、許可證風(fēng)險(xiǎn)全面覆蓋，提供更加透明化的SBOM管理。

同樣重要的是，每次資產(chǎn)發(fā)生變化時(shí)，例如在產(chǎn)品的每個(gè)版本甚至每次構(gòu)建時(shí)，都應(yīng)該創(chuàng)建一個(gè)新的 SBOM以匹配該版本的更改。

如下圖所示，在應(yīng)用不同的構(gòu)建以及不同的階段，都應(yīng)該生成對(duì)應(yīng)的SBOM清單來記錄不同的清單信息。同時(shí)，在應(yīng)用上線分發(fā)時(shí)，需要合并不同階段的清單信息，包括在采購(gòu)階段引入的供應(yīng)商產(chǎn)品的清單融合開發(fā)的情況。

在上線后，應(yīng)用的運(yùn)營(yíng)階段，如果有識(shí)別到新的漏洞風(fēng)險(xiǎn)，則需要出新版本更新或者打補(bǔ)丁，那么應(yīng)用的清單信息，也需要同步更新補(bǔ)丁的成分信息并同步更新版本信息。

圖三 ?應(yīng)用生成SBOM的生命周期

老舊的SBOM數(shù)據(jù)可能產(chǎn)生反作用，做無用功的同時(shí)讓研發(fā)團(tuán)隊(duì)產(chǎn)生抱怨，因此SBOM應(yīng)該是跟隨代碼、制品動(dòng)態(tài)變化的實(shí)時(shí)數(shù)據(jù)。

用戶可以通過將SBOM更新的邏輯嵌入到每一次代碼的變更，與代碼倉(cāng)庫(kù)集成在代碼提交或合并時(shí)重新生成；對(duì)于沒有代碼或者項(xiàng)目中存在二進(jìn)制依賴的情況，CI/CD環(huán)節(jié)則更為關(guān)鍵，通過與jenkins等軟件的集成可以實(shí)現(xiàn)代碼發(fā)布前的審查。

五、DSDX協(xié)議價(jià)值

1. SBOM自身安全可信

軟件物料清單創(chuàng)建者應(yīng)通過加密或數(shù)字簽名的方式對(duì)軟件物料清單的真實(shí)性和完整性進(jìn)行保證。

即使在構(gòu)建階段擁有完美的工具鏈和完美的SBOM 信息，攻擊者也可以篡改SBOM清單的內(nèi)容以隱藏它包含易受攻擊或惡意組件的事實(shí)。然后，消費(fèi)者檢索SBOM的被篡改版本并跟丟這些危險(xiǎn)組件。

DSDX支持向SBOM工件添加數(shù)字簽名，以確保消費(fèi)者可以驗(yàn)證其真實(shí)性和完整性。

但更糟糕的是，攻擊者可能會(huì)破壞構(gòu)建管道，從而能夠修改創(chuàng)建SBOM的過程，這將導(dǎo)致生成了經(jīng)過數(shù)字簽名但被篡改的組件列表。

從“掃描”工具的角度來看，軟件組件通常是一個(gè)黑匣子，可以從供應(yīng)商的交付制品中分析獲得的信息量可能非常有限，因?yàn)槠渲写蟛糠郑ㄈ?pom.xml或go.mod 文件）是在構(gòu)建期間可用，但在最終交付件中刪除。

懸鏡源鑒SCA支持進(jìn)行SBOM和交付制品的深度檢測(cè)結(jié)果比較，分析成分?jǐn)?shù)據(jù)與提供的SBOM數(shù)據(jù)差異，并且給出對(duì)比報(bào)告，最大限度的降低引入質(zhì)量低劣的SBOM清單或管道被攻擊的風(fēng)險(xiǎn)SBOM清單的可能性。

2. SBOM深度和有效性

DSDX支持描述組件的全部依賴關(guān)系，SBOM將提供這些傳遞依賴項(xiàng)的可見性。

圖四 ?組件依賴1層和多層對(duì)比

例如如果包libfoobar-1.5.3-r3-u8是SBOM的一部分，它還應(yīng)該包括用于組裝libfoobar-1.5.3-r3-u8 的每個(gè)包名稱、版本、許可證等，以及每個(gè)節(jié)點(diǎn)的組件，從而形成一個(gè)多級(jí)樹，其中每個(gè)節(jié)點(diǎn)都分解為其依賴項(xiàng)。

支持記錄組件包的hash指，相似文件的路徑和片段以及文件hash。這些可以可以在懸鏡的XSBOM知識(shí)庫(kù)中進(jìn)行對(duì)比關(guān)聯(lián)，確認(rèn)成分的分析準(zhǔn)確有效。

有了依賴樹，就可以分析組件的風(fēng)險(xiǎn)傳遞，一個(gè)產(chǎn)品中的組件依賴關(guān)系是復(fù)雜的，這導(dǎo)致漏洞傳遞的路徑也是復(fù)雜的。所以準(zhǔn)確的解析組件間依賴關(guān)系并進(jìn)行SBOM傳遞非常重要，這是供應(yīng)鏈上下游分析組件的真實(shí)依賴調(diào)用，漏洞的可達(dá)性分析的基石。

3. SBOM與漏洞關(guān)聯(lián)

漏洞是攻擊者可以利用來繞過安全邊界、訪問系統(tǒng)等的弱點(diǎn)或缺陷，它們是攻擊或破壞軟件供應(yīng)鏈的典型方式。要查找軟件（或正在運(yùn)行的主機(jī)、容器鏡像等）中的漏洞，需要將已知漏洞與軟件中的組件信息相匹配。這就是 SBOM 發(fā)揮作用的地方，因?yàn)樗瑯?gòu)成軟件的軟件包和版本的完整列表。

但是軟件生產(chǎn)者和消費(fèi)者都注意到，并不是所有漏洞產(chǎn)生的威脅都是相同的，在一個(gè)上下文環(huán)境中容易受到攻擊的代碼在另一個(gè)上下文中可能不會(huì)受到攻擊。如果上游供應(yīng)商確定來自漏洞的潛在風(fēng)險(xiǎn)不可利用，他們?cè)试S將該風(fēng)險(xiǎn)信息傳遞給下游的其他用戶，以幫助他們做出基于風(fēng)險(xiǎn)的決策。

基于此，SBOM的另一個(gè)關(guān)鍵元素是VEX，它作為SBOM的機(jī)器可讀“輔助工件”,允許制造商將在SBOM中列出的某個(gè)軟件組件中發(fā)現(xiàn)的漏洞的當(dāng)前狀態(tài)進(jìn)行交流。

DSDX同樣支持對(duì)VEX漏洞的兼容，因此可以消除大部分誤報(bào)，解決由于實(shí)現(xiàn)或其他控制措施而漏洞無法利用的實(shí)例，傳達(dá)制造商在緩解漏洞方面的進(jìn)展情況。

通過漏洞關(guān)聯(lián)和漏洞交流，供應(yīng)商可以輕松地傳達(dá)客戶因漏洞而面臨的風(fēng)險(xiǎn)或不存在風(fēng)險(xiǎn)，減少了供應(yīng)商和最終用戶的工作量。

4. SBOM結(jié)合風(fēng)險(xiǎn)策略排查

SBOM數(shù)據(jù)還應(yīng)該可以構(gòu)建完整的資產(chǎn)圖譜，并基于譜圖進(jìn)行高級(jí)檢索。

例如“我是否容易受到 CVE-2022-22965 ( Spring4Shell ) 漏洞的攻擊？”利用此漏洞需要在運(yùn)行可利用Java包的主機(jī)或容器中同時(shí)發(fā)生一組條件：

使用SpringCore版本 5.3.0 到 5.3.17、5.2.0 到 5.2.19 或更早版本，使用JDK 9 或更高版本；

使用 spring-webmvc或spring-webflux 依賴。

大多數(shù)這些情況都可以在SBOM的內(nèi)容中進(jìn)行檢查，輕松地評(píng)估環(huán)境中的風(fēng)險(xiǎn)。

圖五 ?SBOM消費(fèi)場(chǎng)景-策略合規(guī)

同樣的，我們可以結(jié)合企業(yè)的合規(guī)要求和安全策略配置，對(duì)SBOM進(jìn)行專項(xiàng)和定期檢查，因?yàn)镾BOM本身也是動(dòng)態(tài)實(shí)時(shí)變化的數(shù)據(jù)，所以我們可以在分析出不滿足合規(guī)和策略時(shí)，能夠基于項(xiàng)目、資產(chǎn)等不同維度對(duì)總體風(fēng)險(xiǎn)進(jìn)行梳理，并觸發(fā)對(duì)應(yīng)的預(yù)警或者阻斷等操作，使數(shù)據(jù)的消費(fèi)更及時(shí)更左移。對(duì)于企業(yè)的內(nèi)部治理而言，單點(diǎn)的工具是不夠的，還需要有全局的風(fēng)險(xiǎn)視圖，出現(xiàn)問題時(shí)幫助企業(yè)及時(shí)止損。

六、DSDX行業(yè)實(shí)踐

作為國(guó)內(nèi)領(lǐng)先的數(shù)字供應(yīng)鏈安全專業(yè)廠商，懸鏡安全為用戶提供完整的基于SBOM清單管理的數(shù)字供應(yīng)鏈安全管理解決方案，并已在大量標(biāo)桿用戶成功實(shí)踐落地。SBOM作為數(shù)字供應(yīng)鏈安全治理的基礎(chǔ)性工具之一，懸鏡安全是其國(guó)內(nèi)最早的實(shí)踐者和布道者。

懸鏡安全率先在源鑒SCA商業(yè)化產(chǎn)品中集成了DSDX、SPDX、CycloneDX、SWID四種SBOM標(biāo)準(zhǔn)格式的自動(dòng)化生成能力。在商業(yè)化的同時(shí)，懸鏡安全更不忘為開源社區(qū)、廣大開發(fā)者和中小企業(yè)賦能，旗下開源數(shù)字供應(yīng)鏈安全社區(qū)OpenSCA是目前國(guó)內(nèi)唯一能夠完全自主化、自動(dòng)化生成DSDX、SPDX格式SBOM清單的開源SCA工具。

1. SBOM清單文件生成

SBOM 的質(zhì)量取決于構(gòu)建 SBOM 的過程的質(zhì)量和自動(dòng)化程度。

生成根級(jí)別很容易，如直接構(gòu)建的軟件的版本和詳細(xì)信息，以及直接依賴項(xiàng)（包和第三方庫(kù)）。當(dāng)在依賴樹中更深入地構(gòu)建時(shí)，傳遞依賴關(guān)系解析變得困難，因?yàn)樵S多組件不提供自己的SBOM，并且檢測(cè)依賴關(guān)系可能很復(fù)雜，例如帶有剝離信息的靜態(tài)鏈接二進(jìn)制文件。

懸鏡源鑒SCA最佳實(shí)踐，軟件物料清單生成包括人工生成和自動(dòng)化生成兩種方式：

• 構(gòu)建過程完全自動(dòng)化并且SBOM創(chuàng)建被集成為構(gòu)建管道的一部分;
• 人工生成，則可以靈活選擇在不同節(jié)點(diǎn)不同的維度進(jìn)行生成。
• 另外當(dāng)軟件組件以新版本或發(fā)布的形式更新，會(huì)自動(dòng)對(duì)SBOM進(jìn)行更新/追加。

支持生成SBOM階段：應(yīng)用包檢測(cè)，源碼倉(cāng)庫(kù)檢測(cè)，同源溯源分析，二進(jìn)制制品檢測(cè)，鏡像檢測(cè)。

軟件清單生成內(nèi)容包括：

• 組件信息：組件名稱、ID、廠商、組件來源、組件類型、置信度、校驗(yàn)碼、語言、依賴關(guān)系、依賴數(shù)量、依賴路徑等。
• 代碼文件信息：名稱、ID、校驗(yàn)碼、路徑、相似文件來源、相似度。
• 代碼片段信息：來源文件ID、校驗(yàn)碼、代碼片段位置、相似代碼片段來源、相似度。

軟件物料清單生成深度包括：記錄從根節(jié)點(diǎn)到葉子節(jié)點(diǎn)全部深度的清單，以 K-V 形式保存的項(xiàng)目完整依賴關(guān)系圖。

軟件物料清單進(jìn)行軟件漏洞管理：從安全漏洞出發(fā)，溯源哪些組件被影響，從應(yīng)用維度出發(fā)，查看應(yīng)用的SBOM的安全漏洞信息。

圖六 ?SBOM生成和更新周期

支持導(dǎo)出的維度：項(xiàng)目維度導(dǎo)出，應(yīng)用維度導(dǎo)出

支持導(dǎo)出的格式：每種標(biāo)準(zhǔn)格式，優(yōu)先json文件格式支持

DSDX：支持格式text、json、xml

SPDX：支持格式tag:value、rdf、json、xml、yaml

SWID：支持格式cbor、json、xml

CycloneDX：支持格式j(luò)son、xml

圖七 ?源鑒SCA-SBOM生成

2. SBOM清單文件檢測(cè)

掃描SBOM是必要的，因?yàn)閬碜怨?yīng)商的SBOM可能是錯(cuò)誤的。供應(yīng)商的構(gòu)建過程可能會(huì)受到影響，因此供應(yīng)商SBOM可能會(huì)故意省略某些組件。

源鑒SCA支持導(dǎo)入SBOM文件進(jìn)行機(jī)器解析，解析后進(jìn)行檢測(cè)，發(fā)現(xiàn)清單中的風(fēng)險(xiǎn)問題，并可自動(dòng)或人工對(duì)全局的SBOM進(jìn)行更新。 并可支持SBOM的清單對(duì)比，通過上傳的SBOM清單文件解析和供應(yīng)商產(chǎn)品的檢測(cè)生成的SBOM進(jìn)行對(duì)比，分析SBOM清單的準(zhǔn)確度和風(fēng)險(xiǎn)要素。

圖八 源鑒SCA-SBOM檢測(cè)

3. 基于SBOM清單文件的資產(chǎn)管理

構(gòu)建和維護(hù)SBOM信息數(shù)據(jù)要素，在滿足當(dāng)前解決已知風(fēng)險(xiǎn)的同時(shí)，也是在建立后續(xù)排查和梳理的軟件資產(chǎn)清單。

源鑒SCA在資產(chǎn)視角上支持樹結(jié)構(gòu)和圖譜結(jié)構(gòu)，查看全局的資產(chǎn)信息，并進(jìn)行過濾檢測(cè)，查看資產(chǎn)之間的依賴關(guān)系，幫助企業(yè)構(gòu)建軟件物料清單中組件成分體系、組件的依賴關(guān)系體系，建立完整的軟件與組件鏈路關(guān)系樹，實(shí)現(xiàn)鏈路的上下游可達(dá)分析架構(gòu)模型，可以準(zhǔn)確判斷風(fēng)險(xiǎn)問題引入點(diǎn)和影響面。

圖九 源鑒SCA-SBOM資產(chǎn)視角

4. 基于SBOM清單資產(chǎn)的風(fēng)險(xiǎn)分析

要想用于風(fēng)險(xiǎn)的治理，只有基線數(shù)據(jù)字段的SBOM難以發(fā)揮它的價(jià)值，SBOM要和知識(shí)庫(kù)進(jìn)行聯(lián)動(dòng)，當(dāng)SBOM發(fā)生變化或者知識(shí)庫(kù)中的數(shù)據(jù)發(fā)生變化時(shí)，都應(yīng)該觸發(fā)風(fēng)險(xiǎn)識(shí)別邏輯。例如，當(dāng)SBOM中引入了一個(gè)新的組件，需要通過知識(shí)庫(kù)評(píng)估這個(gè)組件是否存在開源許可證約束、是否適合商業(yè)使用；當(dāng)出現(xiàn)一個(gè)新漏洞，知識(shí)庫(kù)收錄后應(yīng)該聯(lián)動(dòng)SBOM判斷有哪些項(xiàng)目受到影響。

企業(yè)需要根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性和嚴(yán)重程度來對(duì)風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。如果不了解漏洞是否被利用，就不可能精確地預(yù)估其發(fā)生的可能性。

懸鏡SCA基于SBOM清單結(jié)合組件庫(kù)，漏洞庫(kù)數(shù)據(jù)識(shí)別組件安全性和漏洞信息，包括但不限于漏洞名稱、編號(hào)、描述、風(fēng)險(xiǎn)等級(jí)、可利用性、修復(fù)方案等。同時(shí)項(xiàng)目將VEX和SBOM結(jié)合，分析供應(yīng)商關(guān)于其產(chǎn)品中存在的漏洞的可利用性的上下文見解和說明，企業(yè)可基于其風(fēng)險(xiǎn)容忍度來識(shí)別、分析、評(píng)估和解決網(wǎng)絡(luò)安全威脅。

幫助企業(yè)對(duì)清單中組件的最小元素進(jìn)行提取，并且通過信息整合，提供包括但不限于軟件清單的組件基準(zhǔn)信息、漏洞信息、許可證信息等。

圖十 源鑒SCA-SBOM風(fēng)險(xiǎn)信息

5. 基于SBOM清單資產(chǎn)的事件響應(yīng)

DSDX中包含了詳盡的軟件組成成分，安全團(tuán)隊(duì)可以通過DSDX分析軟件風(fēng)險(xiǎn)，并進(jìn)行持續(xù)監(jiān)控；在有供應(yīng)鏈安全事件發(fā)生時(shí)，安全團(tuán)隊(duì)也能根據(jù)DSDX快速定位第三方組件中已知漏洞的影響范圍，并針對(duì)性地對(duì)修復(fù)措施進(jìn)行優(yōu)先級(jí)排序，加速供應(yīng)鏈攻擊事件應(yīng)急響應(yīng)速度。追蹤漏洞修復(fù)的狀態(tài)，統(tǒng)計(jì)時(shí)間維度漏洞的產(chǎn)生、修復(fù)趨勢(shì)變化等。

結(jié)語：

SBOM是保護(hù)軟件供應(yīng)鏈的關(guān)鍵部分，也是漏洞匹配和管理的基礎(chǔ)。

對(duì)于企業(yè)而言，SBOM是軟件供應(yīng)鏈治理中很重要的基礎(chǔ)數(shù)據(jù)，能夠幫助企業(yè)實(shí)現(xiàn)依賴治理、漏洞管理和開源許可證合規(guī)。SBOM背后靠的是SCA和知識(shí)庫(kù)數(shù)據(jù)的支撐，想要充分發(fā)揮SBOM的作用，應(yīng)該將生成工具和盡可能多的研發(fā)流程打通，做到實(shí)時(shí)更新SBOM清單，并和全面的知識(shí)庫(kù)訂閱數(shù)據(jù)進(jìn)行實(shí)時(shí)動(dòng)態(tài)關(guān)聯(lián)。

隨著軟件消費(fèi)者會(huì)使用到各類供應(yīng)商提供的軟件產(chǎn)品，這些產(chǎn)品通常以二進(jìn)制的形式交付，相比源碼識(shí)別的效果覆蓋率會(huì)更低，存在的風(fēng)險(xiǎn)更難識(shí)別。此時(shí)SBOM會(huì)作為供應(yīng)商準(zhǔn)入的要求，在采購(gòu)環(huán)節(jié)要求提供SBOM，并對(duì)SBOM進(jìn)行審查和統(tǒng)一管理，SBOM變得越來越重要。

我們需要保護(hù)供應(yīng)鏈，統(tǒng)一標(biāo)準(zhǔn)，并使SBOM成為構(gòu)建過程的重要組成部分。以DSDX為代表的SBOM格式必將在整個(gè)供應(yīng)鏈引入、生產(chǎn)、交付等關(guān)鍵環(huán)節(jié)的開源治理實(shí)踐中發(fā)揮重要作用，懸鏡安全全棧產(chǎn)品覆蓋DSDX，針對(duì)性適配中國(guó)企業(yè)實(shí)戰(zhàn)化應(yīng)用實(shí)踐場(chǎng)景，為供應(yīng)鏈上下游企業(yè)用戶提供安全新方案與整體建設(shè)新思路。文章來源地址http://www.zghlxwxcb.cn/news/detail-753104.html

到了這里，關(guān)于SCA技術(shù)進(jìn)階系列（四）：DSDX SBOM供應(yīng)鏈安全應(yīng)用實(shí)踐的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！