2023年11底，美国NSA（National Security Agency）、CISA（Cybersecurity and Infrastructure Security Agency）等多个政府机构部门组成的ESF（Enduring Security Framework，持久安全框架）工作组联合发布了《保障软件供应链安全：SBOM推荐实践指南》（Securing the Software Supply Chain: Recommended Practices for Managing Open-Source Software and Software Bill of Materials），该文件对SBOM的最佳实践和原则提供了非常具有建议性的指导意见。

1. 简介

该指南旨在帮助组织快速启动其 SBOM 项目，并有效管理与开源软件相关的风险。文档包括一系列针对软件开发人员和消费者的指南，含四个主要部分:

• 开源软件管理；
• 创建和维护公司内部安全的开源存储库；
• 维护、支持和危机管理；
• SBOM 创建、验证和制品。

2. ESF管理SBOM的推荐做法

• 安全团队通常会定义与开源组件相关的安全策略、流程和工具：理想情况下，开发者应该从经过预先审核的内部仓库中选择具有所需功能的组件，即已经使用SCA安全分析工具进行了初始漏洞评估，然后在开发和/或构建阶段开展进一步扫描以尽早发现问题。
• 跟踪开源软件的更新，并监控问题和漏洞：当发现漏洞时，应评估受影响的软件，以确定组件的普及程度及其在产品中的使用情况。更新组件或者如果组件不再得到维护，应考虑寻找替代方案。
• 使用SBOM：了解软件中包含哪些组件对于准确、完整地管理代码至关重要。SBOM是包含软件中组件细节和供应链关系的正式记录。SBOM可以提高软件的透明度并记录组件的来源。对于漏洞管理，SBOM可以支持漏洞的识别和修复。从代码质量的角度来看，SBOM的存在可能表明供应商在整个软件开发生命周期中使用了安全的软件开发实践。

3. 指南具体内容

本指南包含以下附加部分和附录:

• 第一节：介绍
• 第二节：软件物料消耗清单
• 第三节：企业中的SBOM生命周期
• 第四节：SBOM风险评分
• 第五节：SBOM实施
• 附录A：参考文献/附录
• 附录B：缩略词列表
• 附录C：术语表

对指南感兴趣的可点此下载指南（访问密码：6277）。

4. 参考链接

[1] https://industrialcyber.co/sbom/new-guidance-released-by-cisa-nsa-partners-on-securing-software-supply-chain-2/