Что такое СБОМ

SBOM — это аббревиатура Software Bill of Materials. Это подробный перечень всех компонентов, библиотек и зависимостей, используемых в процессе сборки программного обеспечения.

SBOM похож на список рецептов продукта, в котором перечислены различные элементы, составляющие программное приложение, включая компоненты программного обеспечения с открытым исходным кодом, сторонние библиотеки, платформы, инструменты и многое другое. Каждый элемент будет иметь подробную информацию в SBOM, такую ​​как имя, номер версии, информация о лицензии, зависимости и т. д.

Цель SBOM — повысить видимость и прозрачность цепочки поставок программного обеспечения, а также обеспечить лучшее управление рисками и безопасность. Он помогает разработчикам программного обеспечения, поставщикам и пользователям понять компоненты и зависимости, используемые в их программном обеспечении, чтобы лучше управлять потенциальными уязвимостями, рисками безопасности и проблемами соответствия. С помощью SBOM пользователи могут выявлять и отслеживать любые потенциальные уязвимости или известные проблемы безопасности в программном обеспечении и своевременно принимать соответствующие меры по их устранению.

SBOM также можно использовать для аудита программного обеспечения, соблюдения требований и нормативных требований. Некоторые отраслевые стандарты и правила, такие как Структура безопасности цепочки поставок программного обеспечения (SSCF) и Директива ЕС по сетевой и информационной безопасности (Директива NIS), уже требуют от поставщиков программного обеспечения предоставления SBOM для повышения безопасности и надежности цепочки поставок программного обеспечения.

Подводя итог, можно сказать, что SBOM — это перечень всех компонентов и зависимостей, используемых в процессе сборки программного обеспечения, который обеспечивает видимость цепочки поставок программного обеспечения, помогая управлять рисками, повышать безопасность и соответствовать требованиям соответствия.

Какова связь между SBOM и SLSA и в чем разница между ними

SBOM (спецификация программного обеспечения) и SLSA (уровни цепочки поставок для артефактов программного обеспечения) — это две разные, но связанные концепции.

• SBOM дапрограммное обеспечение Список материалов,этопредоставилвернопрограммное обеспечениецепочка Видимость поставок, включая версию компонента, информацию о лицензии, лазейках и т. д. СБОМ Создан, чтобы помочь организациям лучше управлять и контролировать программное обеспечение. обеспечениецепочка поставок, выявлять и устранять потенциальные лазейки, проблемы соответствия и риски безопасности.
• SLSA это что-то вроде цепочки предоставляет структуру безопасности, которая определяет различные уровни требований безопасности и практики для обеспечения безопасности программного обеспечения. обеспечениецепочка Безопасность поставок. SLSA Создан для укрепления программного обеспечения Обеспечение Надежности и Защищенности от вредоносного кода, цепочка Распространение поставок атакует илазейки. SLSA сосредоточиться навесьпрограммное обеспечениецепочка Безопасность в поставках,Включите источник компонента、проверять、Строитьпроцесси Механизм выпуска。

Что касается разницы между ними:

1. Другой взгляд: СБОМ сосредоточиться напрограммное обеспечение. Создайте инвентаризацию и видимость, предоставляя подробную информацию о компонентах и ​​зависимостях. SLSA сосредоточиться нацепочка Безопасность в поставках, определяет уровни и методы безопасности, уделяет особое внимание обеспечению программного обеспечения. обеспечениецепочка Надежность и безопасность поставок.
2. Различные варианты использования: СБОМ Используется для идентификации и управления программами. обеспечение компонентов в сборке, вопросы соответствия лазейки. Это своего рода программа управления обеспечениецепочка поставокрискованныйинструмент。SLSA меры безопасности. Структура безопасности, которая помогает организациям обеспечивать безопасность программного обеспечения путем определения уровней и требований безопасности. обеспечениецепочка Безопасность поставок.
3. Актуальность: SLSA можно использовать SBOM в рамках его реализации. СБОМ предоставил SLSA Необходимые компоненты и сведения о зависимостях для помощи в проверке и аудите цепочки. Безопасность поставок. SLSA Практика может включать требование использования SBOM Создание и проверка для обеспечения программного обеспечения обеспечениецепочка обеспечивает видимость и целостность.

SBOM и SLSA являются ключевыми концепциями безопасности цепочки поставок программного обеспечения. Их можно использовать взаимосвязанно и дополняюще для повышения безопасности и управления цепочками поставок программного обеспечения.

В чем разница между СБОМ и Black Duck

SBOM (Спецификация программного обеспечения) и Synopsys BlackDuck — это две связанные, но разные концепции. Вот различия между ними:

SBOM：

1. Определение: СБОМ это документ или список, используемый для записи программного обеспечения обеспечение Все компоненты и зависимости, используемые в процессе сборки. Это помощь против помощи обеспечениецепочка наглядность и прозрачность поставок.
2. Содержание: СБОМ Перечислены такие сведения, как имя, номер версии, автор, информация о лицензии и т. д. каждого компонента. Это помогает в отслеживании и управлении программным обеспечением. Компоненты обеспечения、Зависимости、лазейкии Соответствие лицензии и многое другое.
3. Применение: СБОМ используется дляпрограммное обеспечениецепочка управление поставками, аудит безопасности, проверка соответствия и управление рисками. Это помогает организациям понять программное обеспечение обеспечение Строитьиспользуется вкомпоненты,Определите потенциальные риски,и обеспечить соблюдение.

Synopsys Black Duck：

1. Особенности: Синопсис Black Duck это что-то вроде цепочки поставки Риск-менеджментинструмент. Он может сканировать программное обеспечение обеспечениепроект,Определить компоненты с открытым исходным кодом и используемые в них сторонние библиотеки.,И проанализировать соответствие своей лицензии, безопасности, лазейки и других потенциальных рисков.
2. Особенности: Черный Duck Имеет обширную базу данных по лазейкам и базу знаний по лицензиям, которые можно связать с процессом разработки и CI/CD интеграция инструментов, предоставление оповещений о лазейках, отчеты о соответствии лицензий, анализ рисков и другие функции.
3. Цель: Черный Duck Помощь в управлении организацией и контроле программного обеспечения обеспечениецепочка поставокриск,Предоставляйте в режиме реального времени информацию о безопасности и соответствии требованиям для компонентов с открытым исходным кодом и сторонних библиотек.,Поддерживать принятие решений и предпринимать соответствующие действия.

Подводя итог, SBOM записывает компоненты и зависимости, используемые при создании программного обеспечения, обеспечивая видимость и управление цепочкой поставок программного обеспечения. Black Duck — это инструмент управления рисками в цепочке поставок, который обеспечивает соблюдение лицензий, уязвимости безопасности и функции анализа рисков путем сканирования и анализа компонентов с открытым исходным кодом и сторонних библиотек в программных проектах. Black Duck можно использовать для создания SBOM и обеспечения более полного анализа рисков и соответствия требованиям. Таким образом, Black Duck — это конкретный инструмент, а SBOM — это концепция записи и управления информацией о цепочке поставок программного обеспечения.

Лучшие практики для SBOM

1. Автоматическое создание: используйте автоматическое создание инструментов. SBOM,Избегайте создания и обслуживания вручную,Обеспечьте точность и последовательность.
2. Содержит детали: в СБОМ содержит максимально подробную информацию,Например, имя компонента、номер версии、автор、Информация о лицензии、Зависимости、лазейки информация и т.д.
3. Регулярные обновления: Регулярные обновления SBOM чтобы отразить последние Строитьспецификация материалов,Обеспечить ее точность и полноту.
4. Контроль версий: для каждой программы версию программного обеспечения, создавайте и управляйте соответствующим образом SBOM Версия для отслеживания программного обеспечения обеспечение Версияи Чтоверно Должен Строитьспецификация материалов。
5. Интегрировано в программное обеспечение Жизненный цикл обеспечения: будет SBOM интегрирован во всю программу обеспечениев жизненном цикле,включая развитие、Строить、тест、Этап развертывания и обслуживания.
6. лазейки Управление и Оценка рисков: использование SBOM Информация о лазейках в,Интеграция с базой данных лазейки,Осуществлять управление и оценку рисков.
7. Сотрудничество с поставщиками: поделитесь с поставщиками и партнерами и получите SBOM информацию, гарантируя, что они также предоставляют точные SBOM,и продолжитьсосредоточиться — Меры по их управлению и соблюдению.

Инструменты генерации SBOM

1. CycloneDX：CycloneDX это открытая программа стандарт описания компонентов программного обеспечения для генерации и совместного использования SBOM。это Поддержка нескольких языкови Строитьинструмент,Имеет широкую экосистему и инструментальную интеграцию.
2. SPDX：SPDX（Software Package Data Exchange) — открытый стандарт описания программного обеспечения. обеспечениекомпонентыи Связанный Информация о лицензии。этопредоставилединый способ созданияиобменSBOM。
3. OWASP Dependency-Track：Dependency-Track это цепочка с открытым исходным кодом платформа безопасности поставок, которая генерирует и анализирует СБОМ, обеспечивает управление, соответствие лицензии ицепочка обеспечивает визуализацию и другие функции.
4. WhiteSource: WhiteSource это что-то вроде цепочки поставокуправлятьинструмент,книги Автоматическая идентификация компонентов с открытым исходным кодом, управление лицензиями, анализ лазейки,Можно создать SBOM и провести оценку рисков.
5. JFrog Xray：JFrog Xray это своего рода программа обеспечениецепочка поставоканализироватьинструмент,Может сканировать и анализировать для составления спецификации материалов.,Обеспечивает оповещения, проверку соответствия лицензий и анализ безопасности.
6. Microsoft sbom-tool: это масштабируемый, готовый к использованию инструмент, который можно создать для различных артефактов. SPDX 2.2 совместимый SBOM。
7. trivy: поддерживает контейнеры, Kubernetes, репозитории кода и облако. Найти лазейки, неправильную конфигурацию, ключ и т.д. и генерирую SBOM。

Помимо вышеперечисленного, предусмотрены и некоторые другие инструменты. SBOM Для функций генерации, управления и анализа вы можете выбрать подходящий инструмент для реализации в соответствии с вашими конкретными потребностями. Лучшие практики для SBOM。

Подвести итог

Я надеюсь, что из этой статьи вы узнали о концепции SBOM, ее взаимосвязях и различиях с SLSA и Black Duck, передовых практиках и доступных инструментах генерации, которые помогут лучше управлять безопасностью цепочки поставок программного обеспечения.