近年来,开源软件在开发中的采用激增,目前已占已构建软件的高达 90%。它在全球公司中的受欢迎程度源于成本节约和产品上市时间的加快。然而,在集成开源软件组件时,有一个关键的方面需要考虑。
Synopsys 报告84% 的商业和专有代码库至少包含一个已知的开源漏洞。这凸显了确保您使用的开源组件的安全性变得越来越重要。这就是软件物料清单 (SBOM) 派上用场的地方。
什么是 SBOM?
开源组件和第三方代码可能很复杂,有很多层。就像俄罗斯套娃一样,这些部件相互配合,每一层都有自己的规则。为了确保他们的软件安全,公司需要确切地知道其中包含什么。
SBOM 提供有关每个组件的详细信息。它就像软件的标签,列出了所有部件及其关系——就像开源部件、第三方部件和公司自己的代码的混合。它提供了每个部分的技术详细信息,包括其名称、版本和许可证。 SBOM 还可以包括有关安全问题、传递依赖性、组件来源和其他信息的信息。
例如,在汽车行业,制造商为每辆车制定详细的规格,包括他们制造的零件和来自外部供应商的零件。如果发现某个零件有缺陷,制造商很快就会知道哪些车辆受到影响。它允许他们通知业主需要维修或更换。这种清晰的记录对于查找缺陷的来源以及如何有效地修复它们非常重要。
最低数据要求
在美国,受新的政府信息安全政策要求更严格的软件安全措施的影响,软件开发商越来越多地采用软件物料清单 (SBOM)。
总统行政官第 14028 号命令于 2021 年 5 月 12 日发布,旨在“改善国家的网络安全”,制定了具体标准用于联邦信息系统。该命令的一个关键方面(详见第 4 节)涉及制定安全软件开发和采购实践指南。该文件将 SBOM 视为确保软件完整性和管理与软件供应链相关风险的关键要素。
根据第 14028 号行政命令,美国商务部和国家电信和信息管理局 (NTIA) 概述了软件组件的最低数据要求,分为三个主要组:
数据字段包括有关每个软件组件的基本信息,例如:
供应商名称:创建、定义和标识组件的实体的名称。
组件名称:分配给原始供应商定义的软件单元的名称。
组件版本:供应商使用的标识符,用于指定软件相对于先前标识的版本的更改。
其他唯一标识符:用于标识组件或用作相关数据库的查找键的其他标识符。
依赖关系:表征上游组件X包含在软件Y中的关系。
SBOM 数据的作者:为此组件创建 SBOM 数据的实体的名称。
时间戳:SBOM 数据组装的日期和时间的记录。
自动化支持有助于自动生成 SBOM 和机器可读性,从而实现跨软件生态系统的扩展。此外,SBOM 应以以下三种格式之一生成:
软件包数据交换 (SPDX)
此格式广泛用于记录有关软件许可证和组件的信息。 SPDX 由 Linux 基金会开发,标准化了组织在其产品中使用的软件组件和许可证的通信方式,从而简化了合规性。
CycloneDX
CycloneDX 主要关注安全性,是一种轻量级 SBOM 格式,设计用于应用程序安全上下文和供应链组件分析。它提供了一种标准方法来表示应用程序中的组件、库和模块及其相关的安全风险和许可。
软件识别 (SWID) 标签
SWID 标签由国际标准化组织 (ISO) 开发,是为软件产品提供唯一标识的 XML 结构。它们帮助管理软件库存并确保遵守许可证。 SWID 标签对于软件资产管理和网络安全目的特别有用。
将 SBOM 集成到安全开发生命周期中需要遵循的实践和流程。 其中包括建立 SBOM 更新频率、定义依赖树的深度、处理具有不确定或不完整依赖信息的 SBOM 元素,以及设置分发、传递和访问控制策略。
SBOM 用例
SBOM 用例可大致分为三个主要类别:
漏洞检测和管理:SBOM 有助于跟踪所有代码组件。当发现关键漏洞时,安全团队可以快速使用 SBOM 定位代码中的问题,了解其影响并优先修复它。例如,TuxCare 的 SecureChain for Java 为服务审查和修补的每个 Java 包提供详细的 SBOM,确保知情决策完全透明。
软件许可证管理:借助 SBOM,公司可以轻松跟踪第三方和开源软件的许可证。许可证经常发生变化,因此定期检查是必要的。这有助于确保公司不会违反任何许可协议或知识产权,从而避免法律问题和财务风险。
软件开发生命周期 (SDLC) 改进:SBOM 使创建、部署和维护软件的整个过程更加高效。例如,开发人员在编写代码时会在初始 SBOM 中列出所有软件依赖项。当发现新的漏洞和依赖项时,此 SBOM 在测试和部署阶段进行更新。它还会提醒开发人员软件使用后出现的任何问题,确保持续更新和改进。
SBOM 的未来
SBOM 对于向政府实体(尤其是国防和航空航天等行业)提供软件的公司尤其重要。然而,它的相关性也延伸到了其他公司。
最近经常利用开源漏洞的供应链攻击有所增加供应链攻击强调了严格检查第三方开源的重要性组件、库和框架。这些攻击可以使恶意行为者完全控制公司的系统、破坏产品功能、引入恶意软件,甚至将病毒传播给客户和其他交互组织。此类攻击的不可预测性和潜在的广泛影响使其成为重大威胁。
Gartner 预测到 2025 年,60% 的组织将把 SBOM 纳入其安全系统。然而,SBOM 虽然有用,它并不是解决软件供应链和保障挑战的灵丹妙药。它只是众多工具之一,而不是包罗万象的解决方案。
SBOM 的有效性取决于广泛采用,随着标准和要求的不断发展,这种采用仍在进行中。鉴于目前正在开发的各种工具和标准不断涌现,实现普遍使用需要时间。