软件物料清单SBOM及其最佳生成工具:SourceCheck

2023-03-07 14:10

SBOM是软件供应链中的一个重要概念,全称为“软件物料清单”SBOM列出了软件中使用的所有组件和库,以及它们的版本和依赖关系。SBOM的重要性在于,它可以帮助企业更好地管理软件供应链,确保软件的安全性和可靠性。

企业过度依赖开源,SBOM更加重要

企业在使用开源软件时,虽然可以节省成本,但也存在很大的风险。开源软件的质量和稳定性无法保证,可能存在漏洞和安全隐患,给企业带来软件安全风险;其次,开源软件的维护和更新需要企业自行承担,如果企业没有专业开发人员进行维护,可能会导致软件无法正常运行,直接影响企业的业务。

开发人员往往无法完全熟悉软件的内部构成,并且关于软件组件的供应链极为复杂,软件的安全水平很难得到保障,导致软件供应链攻击事件层出不穷,开源组件在某种程度上成为了安全人员的“噩梦”。

SBOM 的核心价值

01 | 提升软件透明度

SBOM最核心的价值就是提升软件透明度,通过完整的清单显示软件中所有第三方的组件以及漏洞、许可风险,来提升软件透明度。
02 | 加强资产管理、漏洞管理许可管理

正因为有了SBOM的存在,企业可以管理所有软件,方便资产盘点,管控漏洞和许可风险,真正做到行之有效的资产安全。

03 | 提升应急响应速度

企业发现新的风险预警的时候,可以迅速定位风险影响的范围,提升响应速度。同时,实时更新的SBOM,能更快的发现风险,比常规的安全应急手段更有效。

04 | 建立安全基线

根据企业使用组件的情况结合当前组件所有版本的风险情况,建立符合企业自身的组件安全基线,为后续建立企业自身的安全组件库垫底基础。

05 | 建立安全配置

SBOM不仅仅包括软件中所有组件的组成信息,也应包括各个环节中的其他信息,企业可以从SBOM中知道企业当前所有软件的配置信息,建立企业自身的安全配置规则。

06 | 建立安全管控流程

SBOM涉及软件供应链中的各个环节,可以清晰的展示每个内部流程中的详细情况,通过对比每个环节里详细的SBOM信息,快速定位问题,帮助企业的安全人员建立安全管控机制。

SourceCheck:SBOM 最佳生成工具

开源组件安全及合规管理平台(简称 SourceCheck),是开源网安提供的软件成分分析SCA产品,用于第三方组件安全管控,包括企业组件使用管理,组件使用合规性审计,新漏洞感知预警,开源代码知识产权审计等,支持对源码及发布包检测,是 OWASP Top10 中“使用含有已知漏洞的组件”安全风险的最佳解决方案。

SourceCheck 常见业务场景



代码合规性审计

开源软件引入时,对其许可证传染性、兼容性、其他违规风险进行合规性审计,是否违规侵权,商业闭源的注意事项等。






安全漏洞修复
开源软件的漏洞检测、识别记录、漏洞修复及风险管理,包括后续新漏洞的感知预警,明确对自身业务影响。





软件资产管控

规范开源软件的引入流程,明确安全评估责任机制,建立安全的企业内部开源库。






合作责任明确

企业合作,需要出示安全检测报告,证明软件没有合规性和安全性问题,形成问责追踪机制。企业兼并对第三方代码评估审计等。






监管政策响应

国家项目里对自主知识产权的要求,开源成分不能超过30%,金融、央企等加强风险防控等,相关领域软件知识产权纠纷司法鉴定等。





SourceCheck 企业最佳实践



应用和镜像安全审计

分析企业中应用或者容器中组件的引入情况,组件的漏洞安全问题,组件的许可合规问题以及组件的升级安全版本是什么。






制品库安全审计

通过建立私服防火墙解决企业内部组件的使用安全。






安全卡口

通过一系列黑白名单,策略规则等机制有效对企业研发流程的各个卡口进行有效监控,进行风险预警和管控,降低软件供应链风险。






自动化集成

通过集成IDE、SCM、CLPackage等研发流程中各项环节,实现供应链风险管控流程的自动化。






SBOM免费体验

开源网安SBOM计划依托开源网安在软件安全领域的技术和经验,旨在通过开放软件物料清单分析服务助力中国百万企业快速摸清软件家底,构建软件供应链安全生态。





平台体验注册链接:


入群交流