「 网络安全常用术语解读 」SBOM主流格式CycloneDX详解

CycloneDX是软件供应链的现代标准。CycloneDX物料清单(BOM)可以表示软件、硬件、服务和其他类型资产的全栈库存。该规范由OWASP基金会发起并领导,由Ecma International标准化,并得到全球信息安全界的支持,如今CycloneDX已经是OWASP旗舰项目。

1. 概览

OWASP CycloneDX是一个全栈物料清单(BOM)标准,为降低网络风险提供先进的供应链功能。该规范支持:

  • 软件材料清单(Software Bill of Materials,SBOM)
  • 软件即服务材料清单(Software-as-a-Service Bill of Materials,SaaSBOM)
  • 硬件材料清单(Hardware Bill of Materials ,HBOM)
  • 机器学习材料清单(Machine Learning Bill of Materials,ML-BOM)
  • 加密材料清单(Cryptography Bill of Materials,CBOM)
  • 制造材料清单(Manufacturing Bill of Materials ,MBOM)
  • 运营物料清单(Operations Bill of Materials,OBOM)
  • 漏洞披露报告(Vulnerability Disclosure Reports,VDR)
  • 漏洞可利用性(Vulnerability Exploitability eXchange,VEX)
  • CycloneDX认证(CDXA)

在这里插入图片描述
使用CycloneDX,可以轻松识别和传达安全风险,从而实现有效的漏洞管理。它使用包URL、CPE和SWID,非常适合用于漏洞响应、GRC和CMDB系统。对服务的全面支持可深入了解应用程序或系统的潜在攻击面。利用来源、血统和配方数据为深入发现网络风险提供了机会。

CycloneDX是遵守第14028号行政命令的理想选择,因为它超过了美国国家电信和信息管理局定义的所有SBOM要求,同时也帮助各机构实现了《国家安全备忘录》(NSM-10)中关于量子安全系统和应用的密码学要求。

CycloneDX是世界上多个政府和国防工业基地的标准。CycloneDX在卫星和太空系统、导弹制导系统和算法战方面备受信赖,在保卫国防方面发挥着作用。

CycloneDX的最新版本为2024年4月9号发布的v1.6。

在这里插入图片描述

2. 具体内容

OWASP SBOM权威指南主要包括如下内容,涉及到了CycloneDX的方方面面:

  • 漏洞管理
  • 企业配置管理数据库(CMDB)
  • 完整性验证
  • 真实性
  • 许可证合规性
  • 过时的成分分析
  • 出口合规性
  • 采购
  • 供应商风险管理
  • 供应链管理
  • 组合完整性与“已知未知”
  • 配方保证和验证
  • 加密资产管理
  • 识别弱密码算法
  • 后量子密码学(PQC)准备
  • 评估加密策略和咨询
  • 识别过期和长期的加密材料
  • 确保加密证书

在这里插入图片描述

通过学习OWASP SBOM权威指南可以帮助组织充分利用CycloneDX。若想了解更多CycloneDX SBOM内容,可以参阅:

  • OWASP SBOM权威指南(第二版).pdf (访问密码: 6277)
  • CycloneDX一页通.pdf (访问密码: 6277)

3. CycloneDX的优势

  • 易于采用、实施和扩展
  • 为快速采用和优化提供见解和最佳实践的官方指南
  • 广泛的可用工具目录
  • 单一标准支持完整软件和系统透明度所需的一切
  • 发现并与世界上最大的SBOM采用者、支持者和爱好者社区互动

4. 参考

[1] https://cyclonedx.org/
[2] https://cyclonedx.org/news/cyclonedx-v1.6-released/
[3] https://cyclonedx.org/guides/


推荐阅读:

  • 「 网络安全常用术语解读 」软件物料清单SBOM详解
  • 「 网络安全常用术语解读 」SBOM主流格式SPDX详解

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/6310.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java——认识异常

目录 一.异常的概念与体系结构 1.异常的概念 1.1算术异常 1.2数组越界异常 1.3空指针异常 2.异常的体系结构 3.异常的分类 3.1编译时异常 3.2运行时异常 二.异常的处理 1.防御式编程 1.1LBYL 1.2EAFP(核心) 2.异常的抛出 3.异常的捕获 3…

使用 ORPO 微调 Llama 3

原文地址:https://towardsdatascience.com/fine-tune-llama-3-with-orpo-56cfab2f9ada 更便宜、更快的统一微调技术 2024 年 4 月 19 日 ORPO 是一种新的令人兴奋的微调技术,它将传统的监督微调和偏好校准阶段合并为一个过程。这减少了训练所需的计算…

【深度学习】第二门课 改善深层神经网络 Week 2 3 优化算法、超参数调试和BN及其框架

🚀Write In Front🚀 📝个人主页:令夏二十三 🎁欢迎各位→点赞👍 收藏⭐️ 留言📝 📣系列专栏:深度学习 💬总结:希望你看完之后,能对…

python实现验证码-图片类型

1 utils.py import randomdef get_random_code():code for i in range(5):# 随机生成大写字母upper_char chr(random.randint(65, 90))lower_char chr(random.randint(97, 122))num_char str(random.randint(0, 9))res random.choice([upper_char, lower_char, num_char]…

002 validation自定义校验器

文章目录 pom.xmlValidatorUtil.javaIsMobileValidator.javaIsMobile.javaLoginVo.javaLoginController.java pom.xml <!-- 引入validation依赖,完成校验 --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-s…

软件应用开发安全设计指南

1.1 应用系统架构安全设计要求 设计时要充分考虑到系统架构的稳固性、可维护性和可扩展性&#xff0c;以确保系统在面对各种安全威胁时能够稳定运行。 在设计系统架构时&#xff0c;要充分考虑各种安全威胁&#xff0c;如DDoS攻击、SQL注入、跨站脚本攻击&#xff08;XSS&…

如何使用 Node.js 开发一个文件上传功能?

在 Node.js 中实现文件上传功能可以通过多种方式完成&#xff0c;但其中最常用的方法之一是使用 Express 框架和 Multer 中间件。Express 是一个流行的 Node.js Web 框架&#xff0c;而 Multer 是一个用于处理文件上传的中间件。 步骤 1: 准备工作 首先&#xff0c;确保你已经…

《Fundamentals of Power Electronics》——升压隔离型变换器、SEPIC隔离型变换器

以下是升压型隔离变换器的相关知识点&#xff1a; 升压型隔离变换器可以通过互换降压型隔离变换器的电源与负载的位置得到。升压型隔离变换器有许多种结构&#xff0c;此处简短的讨论两种情况。这些转换器主要使用在高压电源和低谐波整流器中。 图6.36所示是一种全桥型电路结…

第七十章 Apache (UNIX® Linux macOS) 的替代选项

文章目录 第七十章 Apache (UNIX Linux macOS) 的替代选项安装位置&#xff08;所有非典型选项&#xff09;使用 Apache API 模块的要求&#xff08;推荐选项和替代选项 1&#xff09; 第七十章 Apache (UNIX Linux macOS) 的替代选项 本页介绍了与 UNIX、Linux 和 macOS 上的…

【刷爆力扣之589-590. N叉树的前序遍历和后序遍历】

589&#xff1a;N叉树的前序遍历 这道题需要灵活的理解前序遍历的规则&#xff0c;从二叉树到N叉树&#xff0c;原则都是统一的&#xff0c;因此我们可以借鉴二叉树的前序遍历方式&#xff0c;使用递归以及迭代两种方式完成N叉树的前序遍历 方法一&#xff1a;递归 思路&…

企业定制AI智能名片商城小程序:重塑营销场景,引领数字化营销新纪元

在数字化时代的浪潮中&#xff0c;多企业AI智能名片商城小程序以其独特的魅力和创新的功能&#xff0c;为消费者带来了前所未有的购物体验。它不仅是一个汇聚各类商品的购物平台&#xff0c;更是一个充满活力和创造力的社群生态。通过强化社群互动、鼓励用户生成内容以及引入积…

导出 CDH 中各组件(HDFS、Hive、Impala、Kafka、Kudu、YARN和Zookeeper)指标到 Prometheus

文章目录 前言一、提取准备1. 下载jmx2. 创建规则文件 二、HDFS指标提取1. namenode指标提取2. datanode指标提取 二、Hive指标提取1. Hive Metastore Server 指标提取2. HiveServer2 指标提取 三、Impala 指标提取1. Impala Catalog Server 指标提取2. Impala Daemon 指标提取…

tomcat的实现

在一台电脑上启动tomcat&#xff0c;tomcat即是server&#xff0c;即服务器。服务器只会被实例化一次&#xff0c;tomcat这只猫就是服务器。服务器下包含多个子节点服务&#xff0c;即service&#xff0c;顾名思义就是对外提供服务。服务器通常只有一个服务&#xff0c;默认是卡…

R语言计算特定列的和(自备)

R语言长款数据转换&#xff08;自备&#xff09;_r语言宽数据转换成长数据-CSDN博客 数据 rm(list ls()) library(ggplot2) library(ggpubr) library(cowplot) data <- iris##鸢尾花数据集 #[1] "Sepal.Length" "Sepal.Width" "Petal.Length&…

uniapp 文字转语音(文字播报、语音合成)、震动提示插件 Ba-TTS

简介&#xff08;下载地址&#xff09; Ba-TTS 是一款uniapp语音合成&#xff08;tts&#xff09;插件&#xff0c;支持文本转语音&#xff08;无服务费&#xff09;&#xff0c;支持震动提示。 支持语音合成&#xff0c;文本转语音支持震动&#xff08;可自定义任意震动效果…

一对一WebRTC视频通话系列(二)——websocket和join信令实现

本系列博客主要记录WebRtc实现过程中的一些重点&#xff0c;代码全部进行了注释&#xff0c;便于理解WebRTC整体实现。 一对一WebRTC视频通话系列往期博客&#xff1a; 一对一WebRTC视频通话系列&#xff08;一&#xff09;—— 创建页面并显示摄像头画面 websocket和join信令…

Go实战训练之Web Server 与路由树

Server & 路由树 Server Web 核心 对于一个 Web 框架&#xff0c;至少要提供三个抽象&#xff1a; Server&#xff1a;代表服务器的抽象Context&#xff1a;表示上下文的抽象路由树 Server 从特性上来说&#xff0c;至少要提供三部分功能&#xff1a; 生命周期控制&…

堆栈打印跟踪Activity的启动过程(基于Android10.0.0-r41),framework修改,去除第三方app的倒计时页面

文章目录 堆栈打印跟踪Activity的启动过程(基于Android10.0.0-r41)&#xff0c;framework修改&#xff0c;去除第三方app的倒计时页面1.打印异常堆栈2.去除第三方app的倒计时页面3.模拟点击事件跳过首页进入主页 堆栈打印跟踪Activity的启动过程(基于Android10.0.0-r41)&#x…

在Ubuntu上怎么查看安装了哪些包?

2024年5月3日&#xff0c;周五晚上 在Ubuntu上&#xff0c;你可以使用以下命令来查看系统中已安装的包&#xff1a; 使用dpkg命令&#xff1a;dpkg --list这个命令将列出系统中所有已安装的软件包&#xff0c;包括名称、版本号和描述等信息。你可以使用 grep 命令来过滤结果&a…

领域驱动设计(DDD)笔记(三)后端工程架构

文章链接 领域驱动设计(DDD)笔记(一)基本概念-CSDN博客领域驱动设计(DDD)笔记(二)代码组织原则-CSDN博客领域驱动设计(DDD)笔记(三)后端工程架构-CSDN博客前导 领域驱动设计(Domain Driven Design,简称DDD)是业内主导的业务工程理论。它在各中权威人士被广泛讨论…