文章总结： 本文强调了软件物料清单在保障软件供应链安全中的核心作用。文章介绍了由美国NSA和CISA联合发布的《SBOM推荐实践指南》，该指南为企业提供了管理开源软件风险、创建安全内部仓库以及SBOM全生命周期管理的最佳实践。通过使用SBOM，组织能够提升软件透明度，有效识别和修复漏洞，从而做出更明智的采购决策。建议企业遵循指南，建立安全策略，使用预审组件库，并持续监控漏洞，以增强软件供应链的整体安全性。 综合评分： 84 文章分类： 供应链安全,漏洞分析,安全建设,技术标准,解决方案

软件物料清单SBOM都没有，何谈软件供应链安全？

原创

筑梦网安

全栈安全

2024年9月2日 02:04 浙江

为了保障软件供应链安全，美国国家安全局NSA和美国网络安全和基础设施安全局CISA牵头制定了《SBOM推荐实践指南》，指南提出的最佳实践和原则给企业、组织在管理软件供应链安全方面提供了非常具有建议性的指导意见。

1. 一个案例

假如你正在考虑购买两家竞争产品的供应商：

• 供应商A：提供了一份SBOM，表明他们的产品使用了大量旧的开源依赖关系，但没有 VEX。
• 供应商B：提供了一份SBOM，表明他们的产品使用了少量较旧的开源依赖项，并包含一个VEX产品，为漏洞提供了上下文。

有了SBOM这种新的依赖透明度，可使消费者能够在采购决策中对两家供应商进行更好的比较。

2. SBOM推荐实践指南产生背景

2023年11底，美国国家安全局NSA（National Security Agency）、美国网络安全和基础设施安全局CISA（Cybersecurity and Infrastructure Security Agency）等多个政府机构部门组成的工作组ESF（Enduring Security Framework，持久安全框架）联合发布了《保障软件供应链安全：SBOM推荐实践指南》，该文件对SBOM的最佳实践和原则提供了非常具有建议性的指导意见。

3. SBOM推荐实践指南简介

《SBOM推荐实践指南》旨在帮助组织快速启动其 SBOM 项目，并有效管理与开源软件相关的风险。文档包括一系列针对软件开发人员和消费者的指南，含四个主要部分:

• 开源软件管理；
• 创建和维护公司内部安全的开源存储库；
• 维护、支持和危机管理；
• SBOM 创建、验证和制品。

SBOM推荐实践指南

4. ESF管理SBOM的推荐做法

• 安全团队通常会定义与开源组件相关的安全策略、流程和工具：理想情况下，开发者应该从经过预先审核的内部仓库中选择具有所需功能的组件，即已经使用SCA安全分析工具进行了初始漏洞评估，然后在开发和/或构建阶段开展进一步扫描以尽早发现问题。
• 跟踪开源软件的更新，并监控问题和漏洞：当发现漏洞时，应评估受影响的软件，以确定组件的普及程度及其在产品中的使用情况。更新组件或者如果组件不再得到维护，应考虑寻找替代方案。
• 使用SBOM：了解软件中包含哪些组件对于准确、完整地管理代码至关重要。SBOM是包含软件中组件细节和供应链关系的正式记录。SBOM可以提高软件的透明度并记录组件的来源。对于漏洞管理，SBOM可以支持漏洞的识别和修复。从代码质量的角度来看，SBOM的存在可能表明供应商在整个软件开发生命周期中使用了安全的软件开发实践。

5. 指南具体内容

SBOM推荐实践指南（来源：持续安全框架ESF）

本指南包含以下附加部分和附录:

• 第一节：介绍
• 第二节：软件物料消耗清单
• 第三节：企业中的SBOM生命周期
• 第四节：SBOM风险评分
• 第五节：SBOM实施
• 附录A：参考文献/附录
• 附录B：缩略词列表
• 附录C：术语表

若对指南细节内容感兴趣，可通过如下链接获取官方指南（中文翻译版）（下载链接：https://url25.ctfile.com/f/1848625-1037143465-a59fd9?p=6277，访问密码：6277）。

6. 参考链接

• https://industrialcyber.co/sbom/new-guidance-released-by-cisa-nsa-partners-on-securing-software-supply-chain-2/

查看原文：《软件物料清单SBOM都没有，何谈软件供应链安全？》