軟件物料清單 (SBOM) 是基於製造物料清單 (BOM) 的概念,它是所有涉及的元素的清單一個產品。例如,汽車行業的製造商為每輛製造的車輛保留完整的 BOM。由原始設備製造商製造的零件和來自第三方供應商的零件在此 BOM 中列出。
2021 年 5 月,美國總統簽署了一項行政命令,其中包含與聯邦網絡安全有關的網絡安全指令除其他外,SBOM 逐項列出。 SBOM 是包含在代碼庫中的所有開源和第三方組件的列表。這些包含在源代碼中的內容可能會將可能的漏洞引入已開發的應用程序中。要實現該領域的合規性,開發團隊需要利用穩定的開發平台,例如 Amplication.com,以提高整體應用程序的透明度。
SBOM 中需要包含哪些內容?
SBOM 必須包含所有軟件包的完整清單
a> 在產品中運行,以及創建它們的實體。供應商、組件名稱、組件版本、其他唯一標識符、依賴關係、SBOM 數據作者和時間戳都包含在每個組件的基線信息中。
SBOM 請求實踐和流程,包括頻率、深度、已知未知數、分發和交付、訪問控制和錯誤適應。
不遵守開源許可證可能會暴露組織代價高昂的訴訟和知識產權盜竊 (IP)。開源軟件許可證(例如 GNU 通用公共許可證)的衝突會對組織的合規性產生重大影響。這個原則應該擴展到 API 和數據庫框架。因此,SBOM 必須包含詳細的許可信息。
SaaS 應用程序的 SBOM 還可能包含有關運行 SaaS 應用程序所需的 API 或第三方服務的信息。
使用軟件物料清單的好處
SBOM 可以幫助任何現在比以往任何時候都更關心降低風險和遵守頂級網絡安全實踐的公司。它們使共享有關軟件組件和漏洞的信息變得更加容易。以下是 SBOM 的一些最重要的優勢。
SBOM 是跟踪軟件審計和法規遵從標準的更好方法。由於開源軟件如此廣泛可用,企業必須格外小心,以防止許可證衝突或合規困難。未能滿足軟件要求可能會導致法律訴訟甚至損害公司的聲譽。 SBOM 簡化了盡職調查並有助於及早發現缺陷,從而簡化流程。它們還可以更快、更準確地響應許可聲明。
開發軟件的公司可以使用 SBOM 來避免已知漏洞和/或在它們投入生產之前檢測並刪除它們。最後,SBOM 可以幫助創建者和開發人員更快地發現和解決安全漏洞。當公司購買新軟件時,SBOM 可簡化盡職調查並加快識別和解決速度。
SBOM 可幫助您更有效地管理軟件。工程師手動搜索數百萬行代碼以檢測和修復漏洞非常耗時且耗費資源。此外,隨著軟件複雜性的增加,工作量也在增加。 SBOM 是一個有助於有效管理各種並發症同時降低費用的框架。 SBOM 通過將組件和版本列表整合到一個位置來減少時間並減少計劃外和計劃外的工作。這也是自動化的,可以保持低價和高產量。
即使 SBOM 不能防止未發現的缺陷,它可以幫助在流程的早期發現錯誤。因此,它可以幫助減少這些缺陷最終出現在您的軟件中的可能性。此外,它有助於提高軟件的整體質量。
結論
所有這些的主要收穫是,除了遵守法規遵從性之外,SBOM 的實施還有助於組織及其客戶的整體網絡彈性。開發團隊需要不斷更新 SBOM,並致力於僅使用具有良好行業記錄的開源代碼庫和段。