了解 SBOM (软件物料清单)

近年来，开源软件在开发中的采用激增，目前已占已构建软件的高达 90%。它在全球公司中的受欢迎程度源于成本节约和产品上市时间的加快。然而，在集成开源软件组件时，有一个关键的方面需要考虑。

Synopsys 报告84% 的商业和专有代码库至少包含一个已知的开源漏洞。这凸显了确保您使用的开源组件的安全性变得越来越重要。这就是软件物料清单 (SBOM) 派上用场的地方。

什么是 SBOM？

开源组件和第三方代码可能很复杂，有很多层。就像俄罗斯套娃一样，这些部件相互配合，每一层都有自己的规则。为了确保他们的软件安全，公司需要确切地知道其中包含什么。

SBOM 提供有关每个组件的详细信息。它就像软件的标签，列出了所有部件及其关系——就像开源部件、第三方部件和公司自己的代码的混合。它提供了每个部分的技术详细信息，包括其名称、版本和许可证。 SBOM 还可以包括有关安全问题、传递依赖性、组件来源和其他信息的信息。

例如，在汽车行业，制造商为每辆车制定详细的规格，包括他们制造的零件和来自外部供应商的零件。如果发现某个零件有缺陷，制造商很快就会知道哪些车辆受到影响。它允许他们通知业主需要维修或更换。这种清晰的记录对于查找缺陷的来源以及如何有效地修复它们非常重要。

最低数据要求

在美国，受新的政府信息安全政策要求更严格的软件安全措施的影响，软件开发商越来越多地采用软件物料清单 (SBOM)。

总统行政官第 14028 号命令于 2021 年 5 月 12 日发布，旨在“改善国家的网络安全”，制定了具体标准用于联邦信息系统。该命令的一个关键方面（详见第 4 节）涉及制定安全软件开发和采购实践指南。该文件将 SBOM 视为确保软件完整性和管理与软件供应链相关风险的关键要素。

根据第 14028 号行政命令，美国商务部和国家电信和信息管理局 (NTIA) 概述了软件组件的最低数据要求，分为三个主要组：

数据字段包括有关每个软件组件的基本信息，例如：

供应商名称：创建、定义和标识组件的实体的名称。
组件名称：分配给原始供应商定义的软件单元的名称。
组件版本：供应商使用的标识符，用于指定软件相对于先前标识的版本的更改。
其他唯一标识符：用于标识组件或用作相关数据库的查找键的其他标识符。
依赖关系：表征上游组件X包含在软件Y中的关系。
SBOM 数据的作者：为此组件创建 SBOM 数据的实体的名称。
时间戳：SBOM 数据组装的日期和时间的记录。

自动化支持有助于自动生成 SBOM 和机器可读性，从而实现跨软件生态系统的扩展。此外，SBOM 应以以下三种格式之一生成：

软件包数据交换 (SPDX)

此格式广泛用于记录有关软件许可证和组件的信息。 SPDX 由 Linux 基金会开发，标准化了组织在其产品中使用的软件组件和许可证的通信方式，从而简化了合规性。

CycloneDX

CycloneDX 主要关注安全性，是一种轻量级 SBOM 格式，设计用于应用程序安全上下文和供应链组件分析。它提供了一种标准方法来表示应用程序中的组件、库和模块及其相关的安全风险和许可。

软件识别 (SWID) 标签

SWID 标签由国际标准化组织 (ISO) 开发，是为软件产品提供唯一标识的 XML 结构。它们帮助管理软件库存并确保遵守许可证。 SWID 标签对于软件资产管理和网络安全目的特别有用。

将 SBOM 集成到安全开发生命周期中需要遵循的实践和流程。其中包括建立 SBOM 更新频率、定义依赖树的深度、处理具有不确定或不完整依赖信息的 SBOM 元素，以及设置分发、传递和访问控制策略。