為什麼要關注軟體材料清單(SBOM)

軟體材料清單(SBOM)是在給定的程式碼庫中找到的或在給定的軟體構建中使用的所有軟體元件的列表。為什麼我們要關心SBOMs呢?SBOM本身並沒有真正做任何事情，它只是達到目的的一種手段。SBOM作用的終點是更高的軟體安全性和更安全的軟體供應鏈。

讓我們退後一步，瞭解為什麼對SBOM的需求如此突然和緊迫。最近一次針對軟體供應鏈的“大規模”攻擊是在2021年12月發現的Apache Log4j漏洞。這一漏洞為無數入侵開啟了大門，在此之前，備受矚目的對太陽風的駭客攻擊也造成了類似的破壞。

儘管SBOM不能直接阻止此類事情再次發生，但SBOM可以做的是準確地展示出軟體中存在此類漏洞的位置，並使工作人員能夠快速修補系統或阻止漏洞利用。有了軟體材料清單，可以快速評估程式碼庫中的風險，並根據需要來減輕這些風險。

SBOM透過對許可證，庫，模組，應用補丁和其他元件進行審計來查詢缺陷。但為了使此類稽核可靠地跟蹤用於構建軟體的元件，SBOM應該具有某些屬性。

• 每個軟體元件的唯一標識

• 單獨的標識(獨立於組織內部使用的標識)，用於標識開發過程中涉及的每臺計算機和使用者

• 時間戳，便於跟蹤每個更改或元件合併

此外，從安全形度來看，SBOM可靠性所必需的一個關鍵要素是防止對其進行未經授權的更改。最有效的方法是使用不可變的分類賬，來記錄每次更改的歷史記錄。

一旦SBOM的可靠性得到保證，DevSecOps團隊就可以將其用作威脅掃描工具箱的一部分，從而提高軟體的安全性。

毫無疑問，應該向軟體供應商請求獲得SBOM，並且應該考慮將SBOM與自己開發的軟體一起建立。

SBOMs的好處和用例很多。它們在生產，選擇和操作軟體的相關者之間有所不同，並且在組合時會被放大。SBOMs 的用例包括更好的軟體開發、供應鏈管理、漏洞管理、資產管理和高保證流程。好處包括降低成本，降低安全風險，許可證風險和合規風險。

文章來源：

https://devops.com