有助于改善网络安全的SBOM

原文链接:Software bills of materials (SBOM) could help improve cybersecurity 由Jean-Luc Aufranc撰写。

备注:SBOM即Software bills of materials ,即软件物料清单。

最近几个月出现了一些广为人知的黑客攻击,其中包括 SolarWinds 黑客攻击和 Colonial 管道网络攻击,这两种黑客攻击极具破坏性而且造成的损失也十分巨大。最近,美国政府发布了一项针对网络安全的行政命令,其中就列出了扩展网络安全的一些要求。

由于当中有很多附加向量,要求的清单列表也比较长,让人有些无从下手。但是,在“增强软件供应链安全性”一节中的一些内容还是引起了我的注意:

(vii) 直接向购买者提供每个产品的软件材料清单(SBOM)在公共网站上通过发布购买需求的方式购买

物料清单 (BoM) 通常用于硬件设计,但软件物料清单(SBOM)最初的想法则是为了是确保具有已知漏洞的过时软件库不包含在特定程序当中。

软件物料清单(图片来自美国国家电信和信息管理局)
软件物料清单(图片来自美国国家电信和信息管理局)

2021年的开源安全和风险分析(OSSRA)报告就揭示了跨17个行业、超过1500个开源代码库的漏洞和许可证冲突。因此,除了安全方面之外,软件物料清单(SBOM )或许也有助于发现开源代码许可证不兼容的问题。

正如EETimes 的一篇文章所指出的那样,软件物料清单(SBOM)并不是完美的解决方案,因为软件可能包含大量组件,而软件公司所做的任何更改都是必须要记录在案的。此外,编译标志和使用的特定硬件则使任务更加复杂了。例如,内核可能容易受到Spectre 和 Meltdown 漏洞的影响,不过某些硬件平台是免疫的(例如 Cortex-A53 处理器),所以这一点也必须要考虑到。

Verve Industrial Protection 公司的网络安全洞察总监 Ron Brash 也告诉 EE Times:“虽然,你可以只提供库和其他软件组件的列表,但是,必须要为用户、开发人员和资产所有者明确显示漏洞情况。

我需要一个仪表板视图来全面显示我的风险是什么,而不仅仅是软件组件的列表。后者不会帮助作为资产所有者我,也可能不会帮助供应商。

因此,应该就 SBOM 标准达成某种协议。而且美国国家电信和信息管理局 (NTIA) 也需要一个专门的页面,来为软件材料清单提供指南。另外,正如 EETimes 所指出的那样,美国国家标准与技术研究院 (NIST) 正在根据学术界、政府机构和私营部门的意见制作参考指南,其中将包括标准、工具和最佳实践方案等。该草案计划在 2021 年 11 月 8 日发布。如果SBOM最终能够成为法律,未来产品厂家可能需要提供程序、应用程序甚至设备固件等的软件材料清单。

分享这篇文章
<-- Multiplex code - to do -->
0 评论
内联反馈
查看所有评论