软件物料清单SBOM的组成元素详解

2024-05-19 14:43

软件物料清单(Software Bill of Materials,简称SBOM),是描述软件产品的组成成分、内外部依赖关系、来源信息以及潜在的安全风险信息的清单,它为软件供应链的透明度和安全性提供了基础。

软件物料清单SBOM的组成元素详解.jpg

SBOM可以类比于制造业中的物料清单,它详细列出了构成软件系统的所有组件,包括开源和商业软件。SBOM不仅包括组件的名称和版本,还可能包含许可证信息、版权声明、漏洞数据等。特定版本的软件都应有一份对应的软件物料清单。软件物料清单由基本信息、软件组成信息、外部依赖信息、安全信息、扩展信息和签名信息六大类信息组成,每类信息包括若干清单元素。

软件物料清单sbom组成元素图

1、基本信息:描述软件和软件物料清单的标识、来源等基本信息,包括:软件信息和清单信息;

2、软件组成信息:描述软件组成成分、成分来源及其依赖关系的信息,包括:组件信息、文件信息、代码片段信息和内部依赖信息;

3、外部依赖信息:描述软件开发、部署、运行、更新所依赖的外部工具、运行环境、网络服务等必需条件及其来源的信息,包括:外部网络服务信息、基础环境信息和开发工具信息;注:外部指不包含在软件中的功能、服务、特性等。

4、安全信息:描述软件自身安全和供应链安全管理相关的信息,包括网络服务接口信息、补丁信息、许可证信息、安全漏洞、配置风险和生命周期维护中断风险信息;

5、扩展信息:描述本文件中未定义的其他软件物料信息;

6、签名信息:描述用于验证清单完整性的数字证书和签名信息,应使用符合国家或行业规定的机构签发的数字证书。

在不同的使用场景中,并非所有元素和元素字段都是必要信息。在国家标准《网络安全技术 软件物料清单数据格式》的征求稿中,明确了支持清单基本功能的最小元素集,包括软件信息、清单信息、组件信息、内部依赖信息和签名信息等元素。

SBOM的这些组成元素共同构成了一个全面的视图,使组织能够有效地管理其软件资产,降低安全风险,并确保合规性。

>>透明度提升:SBOM提供了软件组件的详尽视图,增加了透明度。

>>风险管理:通过SBOM可以快速识别含有已知漏洞的组件。

>>合规性检查:SBOM帮助确保软件产品符合行业标准和法规要求。

>>供应链安全:SBOM是监控和管理软件供应链安全的重要工具。

>>维护和升级:SBOM有助于软件的维护、升级和补丁管理。

随着软件供应链安全的重要性日益增加,SBOM的作用将变得更加关键,并在软件成分分析等软件安全测试场景中发挥更大的作用。