為什麼要關注軟體材料清單(SBOM)
軟體材料清單(SBOM)是在給定的程式碼庫中找到的或在給定的軟體構建中使用的所有軟體元件的列表。為什麼我們要關心SBOMs呢?SBOM本身並沒有真正做任何事情,它只是達到目的的一種手段。SBOM作用的終點是更高的軟體安全性和更安全的軟體供應鏈。
讓我們退後一步,瞭解為什麼對SBOM的需求如此突然和緊迫。最近一次針對軟體供應鏈的“大規模”攻擊是在2021年12月發現的Apache Log4j漏洞。這一漏洞為無數入侵開啟了大門,在此之前,備受矚目的對太陽風的駭客攻擊也造成了類似的破壞。
儘管SBOM不能直接阻止此類事情再次發生,但SBOM可以做的是準確地展示出軟體中存在此類漏洞的位置,並使工作人員能夠快速修補系統或阻止漏洞利用。有了軟體材料清單,可以快速評估程式碼庫中的風險,並根據需要來減輕這些風險。
SBOM透過對許可證,庫,模組,應用補丁和其他元件進行審計來查詢缺陷。但為了使此類稽核可靠地跟蹤用於構建軟體的元件,SBOM應該具有某些屬性。
-
每個軟體元件的唯一標識
-
單獨的標識(獨立於組織內部使用的標識),用於標識開發過程中涉及的每臺計算機和使用者
-
時間戳,便於跟蹤每個更改或元件合併
此外,從安全形度來看,SBOM可靠性所必需的一個關鍵要素是防止對其進行未經授權的更改。最有效的方法是使用不可變的分類賬,來記錄每次更改的歷史記錄。
一旦SBOM的可靠性得到保證,DevSecOps團隊就可以將其用作威脅掃描工具箱的一部分,從而提高軟體的安全性。
毫無疑問,應該向軟體供應商請求獲得SBOM,並且應該考慮將SBOM與自己開發的軟體一起建立。
SBOMs的好處和用例很多。它們在生產,選擇和操作軟體的相關者之間有所不同,並且在組合時會被放大。SBOMs 的用例包括更好的軟體開發、供應鏈管理、漏洞管理、資產管理和高保證流程。好處包括降低成本,降低安全風險,許可證風險和合規風險。
文章來源:
https://devops.com
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2919172/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 為什麼企業要更加關注網路安全
- 我們程式設計師為什麼要關注 JavaScript ?程式設計師JavaScript
- 軟體測評中心簡要分析:為什麼要進行軟體效能測試?
- 企業為什麼要上管理系統軟體
- 為什麼要虛擬化,為什麼要容器,為什麼要Docker,為什麼要K8S?DockerK8S
- 為什麼軟體會被稱為“軟體”
- 為什麼企業需要關注深度學習深度學習
- 已知人工智慧不會接管世界,為什麼還要繼續關注它?人工智慧
- Mac極簡軟體清單Mac
- linux常用軟體清單Linux
- 軟體升級配置清單
- 為什麼前端工程師需要關注設計前端工程師
- [譯] 為什麼你需要關注一下 FlutterFlutter
- Linux有什麼特點?為何受關注?Linux
- 為什麼要removeREM
- 為什麼要敏捷?敏捷
- 為什麼遊戲裡要揀回屍體?遊戲
- 為什麼要參加軟體測試培訓?有哪些優勢?
- Facebook為什麼要養號?有Facebook養號軟體推薦嗎?
- 為什麼那麼多機關單位會選擇輕鬆盤固定資產管理軟體?
- 程式猿在關注什麼?
- 新機必備軟體清單:精選軟體工具
- 為什麼說HR軟體對中小企業至關重要
- 為什麼我們要關注醫療衛生服務面臨的網路安全威脅
- 軟體測試要學什麼(3)軟體測試流程詳解
- 為什麼要code reviewView
- 軟體為什麼要進行安全測試?可做安全測試的軟體檢測公司安利
- Centos配置叢集為什麼要關閉SELINUXCentOSLinux
- 為什麼Python受關注?Python熱門的原因!Python
- 為什麼開發人員痴迷於“關注點分離”?
- 為什麼軟體測試外包更好?
- 為什麼糟糕的軟體成功了
- 軟體測試要學什麼(7)軟體測試常用工具
- 為什麼要進行軟體測試需求分析?廣東權威的軟體測試公司有哪些?
- 為什麼程式設計師新手要考慮接單?程式設計師
- 為什麼要學習 RustRust
- 為什麼要學習 Julia
- 為什麼要指令重排序?排序