基于SBOM的软件安全治理实践.pdfVIP

基于SBOM的软件安全治理实践

问题引入了软件供应链［1］。针对当前开源软件的大量

1概述

使用，攻击者会通过网络工具、下载投毒、代码污染、

随着软件在社会经济生活中越来越广泛地应用，漏洞利用等供应链攻击手段对企业的软件系统进行

软件供应链安全问题日益引起人们的重视。为了实破坏性攻击［2］。近几年此类攻击事件频发，攻击手段

现软件的快速开发和应用，当前软件绝大部分都是采多样，其中影响巨大的安全事件有SolarWinds攻击、

用组件组装而成，且随着开源文化的兴起，开源组件RealtekWi-FiSDK漏洞、ApacheLog4j2漏洞等，这些

在软件中的使用比例迅速升高。开源组件的引入虽事件都给企业和用户带来了重大的损失。

然加快了软件开发与迭代效率，同时也将开源的安全为了解决上述软件供应链的安全问题，涌现出许

——————————多新的软件安全治理方法，其中一种基于软件物料清

收稿日期：2023-07-03单（SoftwareBillofMaterials，SBOM）的软件治理方法得

［3］是软件成分的不透明。下面将针对上述问题的特点，

到越来越多的重视。SBOM明确描述了一个软件产

品中包含的所有组件及其依赖关系，帮助提高软件的引入SBOM概念，就如何治理软件风险展开论述。

透明度和信任度，可以很好地帮助治理软件供应链所

3SBOM介绍

面临的安全问题，构建一个更加安全的软件供应链体

系。3.1SBOM的概念与定义

根据美国国家电信和信息化管理局（NTIA）的定

2软件安全治理现状

义，SBOM是一份包含软件的所有组件的信息和层级

当前，软件供应链的攻击事件日益增多，软件正关系的形式化、机器可读清单［8］。SBOM其实就是一个

面临着严重的安全威胁，如何有效地降低软件供应链结构化列表，用来描述组成某个特定软件或组件的所

的安全风险，已经成为当前国内外机构、企业和组织有成分及其关系。近几年，SBOM被广泛地应用到了

重点关注的问题［4］。我国相关部门、机构和组织已通软件安全领域，以支持制定安全策略、风险评估、漏洞

过在软件供应链安全领域积极布局政策法规、标准体管理等工作。

系以及技术能力的研究和建设来应对日益频繁和复3.2SBOM的元素

杂的软件供应链安全风险［5］。当前，软件安全治理仍SBOM是软件组成成分的一个列表，其中包含了

然存在如下突出问题。软件基本信息、软件间的关系和软件其他信息三大类

a）软件成分信息不透明。如今软件结构越来越软件成分的信息。在实践过程中，用户可以根据实际

复杂，开源组件的使用占比越来越高，在重点行业的情况在表1的软件基本信息的基础上增加配置扩展信

使用率已接近90%［6］，使得软件成分难以梳理，组件间息字段，形成适用于自身的SBOM清单。

的关系混乱，导致软件的安全治理无从下手。3.3SBOM的格式

b）漏洞识别不全且修复成本高。由于软件的成国际上主流的SBOM格式有以下3种：软件包数

分复杂，漏洞