SBOM，再次现身白宫开源软件网络安全峰会

2022-01-18 14:48

2022年1月13日，美国联邦机构联合谷歌、亚马逊等一众科技公司，基于Log4j漏洞开展了一场关于开源软件安全问题的重要讨论。不得不提到的是，这次会议明确指出了改进软件安全和提升软件供应链的透明度是解决这类风险的关键要素。

的确，近年来软件安全事件愈演愈烈，安全事件的频频爆发，引发行业对软件供应链安全愈来愈高的关注。安全风险之所以难以防范，归其原因，一是业界还没有一套完善的风险防范机制，二是安全风险本身传播性强且隐蔽性高。我们往往是在问题发生之后才着力去解决，且解决的过程长且复杂。

想要减少软件供应链安全风险，一方面，企业需要构建软件资产透明化的意识，在漏洞披露时及时地进行响应排查以及快速的安全修复。另一方面，离不开专业的风险识别工具来支撑，这可以针对全周期的安全问题进行排查。

>>>>

SBOM物料清单的底层逻辑和顶层设计

SBOM即Software Bill Of Materials，是BOM概念在软件领域的应用展现，即构成软件程序和应用程序的成分列表。

SBOM的出现有其必要性。

一方面离不开软件供应链安全这一底层逻辑。

从行业现状来看，各行各业代码库中的开源代码数量占比率居高不下，这些问题一旦发生治理难度较大，因此需要借助SBOM工具的支撑让应用程序组件透明化。

从软件成分角度来看，一款现代应用程序的60%-90%均来自开源软件或开源组件。这都需要使用SBOM来提前识别软件组件问题和风险。从软件和组件的关系来看，借助SBOM建立完整的软件与组件链路关系，可以实现链路的上下游可达分析，实现高效的问题定位及影响分析。

加强软件SBOM建设，对于整个产业在知识产权、风险控制、软件风险持续跟踪、软件管理等方面均有重大意义。

另一方面，也离不开一系列国家战略层面的顶层设计。

供应链安全的重要性，引起了全球许多国家政府的广泛关注。例如：美国白宫在当地时间2022年1月13日开展了一次重要的科技安全峰会，这次峰会延续了去年5月的网络安全行政令。更明确地指出，只有使用安全软件开发生命周期实践并符合特定联邦安全指南的公司才能向联邦政府出售产品。会议还特意提到，联邦供应商可以使用SBOM，列举特定软件组件的综合列表，以优化破坏性漏洞披露后的手动识别过程。

我国高度重视软件供应链安全问题，不断建立健全法律法规、标准制度。为应对国内外软件供应链安全威胁，近年来我国先后颁布的《中华人民共和国网络安全法》《网络安全审查办法》《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》《关键信息基础设施安全保护条例》等政策法规强调加强软件供应链的安全保障。

我国软件安全政策颁发历程

>>>>

多年技术沉淀，开源网安SBOM平台上线

2021年12月22日，开源网安SBOM平台正式上线！这是开源网安在软件安全领域的又一重磅展现。

开源网安SBOM平台是提供软件成分分析和生成软件物料清单的服务平台，该平台集成千万级的开源组件库信息和数十万级漏洞库信息，支持15种以上常用语言包的检测。通过平台生成SBOM清单，可以帮助使用者提高软件的透明度，提前识别开源组件安全风险，并根据风险提供相应的影响分析和采取相应的预警措施，助力使用者做好软件供应链安全。

在承载方式上，SBOM的承载载体一是以表格方式Excel来承载，建立一个完整的呈现；二是用结构化方式则由JSON或者XML承载，清晰地表达出软件物料清单的逻辑、安全内容，组成成分。

在常用标准和规范上，SBOM支持三种标准规范：OWASP CycloneDX、 SPDX、SWID，这三个标准的本质都是通过结构化的信息输出，让计算机可读，能够做存量。

在内容上，SBOM可以拥有更多信息，包括依赖信息。以目前最常见的一个轻量级物料清单标准OWASP CycloneDX 为例，图中显示了SBOM所包含的大量信息，全面且深入。