基于SBOM的软件安全治理实践.docxVIP

10

10 2023/08/DTPT

基于SBOM的软件安全治理实践

1概述

随着软件在社会经济生活中越来越广泛地应用，软件供应链安全问题日益引起人们的重视。为了实现软件的快速开发和应用，当前软件绝大部分都是采用组件组装而成，且随着开源文化的兴起，开源组件在软件中的使用比例迅速升高。开源组件的引入虽然加快了软件开发与迭代效率，同时也将开源的安全

——————————

收稿日期：2023-07-03

问题引入了软件供应链［1］。针对当前开源软件的大量使用，攻击者会通过网络工具、下载投毒、代码污染、漏洞利用等供应链攻击手段对企业的软件系统进行破坏性攻击［2］。近几年此类攻击事件频发，攻击手段多样，其中影响巨大的安全事件有SolarWinds攻击、RealtekWi-FiSDK漏洞、ApacheLog4j2漏洞等，这些事件都给企业和用户带来了重大的损失。

为了解决上述软件供应链的安全问题，涌现出许多新的软件安全治理方法，其中一种基于软件物料清单（SoftwareBillofMaterials，SBOM）的软件治理方法得

到越来越多的重视［3］。SBOM明确描述了一个软件产品中包含的所有组件及其依赖关系，帮助提高软件的透明度和信任度，可以很好地帮助治理软件供应链所面临的安全问题，构建一个更加安全的软件供应链体系。

2软件安全治理现状

当前，软件供应链的攻击事件日益增多，软件正面临着严重的安全威胁，如何有效地降低软件供应链的安全风险，已经成为当前国内外机构、企业和组织重点关注的问题［4］。我国相关部门、机构和组织已通过在软件供应链安全领域积极布局政策法规、标准体系以及技术能力的研究和建设来应对日益频繁和复杂的软件供应链安全风险［5］。当前，软件安全治理仍然存在如下突出问题。

a）软件成分信息不透明。如今软件结构越来越复杂，开源组件的使用占比越来越高，在重点行业的

［6］

是软件成分的不透明。下面将针对上述问题的特点，引入SBOM概念，就如何治理软件风险展开论述。

SBOM介绍

SBOM的概念与定义

根据美国国家电信和信息化管理局（NTIA）的定义，SBOM是一份包含软件的所有组件的信息和层级关系的形式化、机器可读清单［8］。SBOM其实就是一个结构化列表，用来描述组成某个特定软件或组件的所有成分及其关系。近几年，SBOM被广泛地应用到了软件安全领域，以支持制定安全策略、风险评估、漏洞管理等工作。

SBOM的元素

SBOM是软件组成成分的一个列表，其中包含了软件基本信息、软件间的关系和软件其他信息三大类软件成分的信息。在实践过程中，用户可以根据实际情况在表1的软件基本信息的基础上增加配置扩展信

使用率已接近90%

，使得软件成分难以梳理，组件间

息字段，形成适用于自身的SBOM清单。

的关系混乱，导致软件的安全治理无从下手。

b）漏洞识别不全且修复成本高。由于软件的成分复杂，漏洞多样，有效地确定软件漏洞仍然存在挑战，另外，针对升级组件来修复的漏洞，在不明确软件内组件依赖关系的情况下对组件进行升级，可能会因为兼容性问题导致升级失败和漏洞无法修复。

c）知识产权不合规。使用开源软件仍然需要遵循相关的开源协议，目前软件开发中忽略许可证信息的现象非常普遍，这样会引发知识产权的相关问题［7］。综上所述，软件安全治理当前面临的核心问题还

SBOM的格式

国际上主流的SBOM格式有以下3种：软件包数据交换（SoftwarePackageDataExchange，SPDX）、软件识别标记（Softwareidentification，SWID）和依赖关系交换（CycloneDependencyeXchange，CycloneDX）。

SPDX是一个ISO/IEC标准格式，用于交换软件物料清单信息［9-10］。SPDX的特点是对许可证的详细信息支持较好，主要支持的输出文件格式如下：RDF、XLS、SPDX、YAML、JSON。

CycloneDX是一个轻量级SBOM规范，可用于应用

表1SBOM元素信息表

类型

项目

说明

软件基本信息

作者信息

创建组件SBOM数据的实体信息

时间戳

SBOM最后一次更新的日期和时间

供应商名称

创建、定义和识别组建的实体名称，也可以为其标识符

组件名称

由原始供应商定义的软件单元名称

组件版本

供应商用于标识软件版本变化的信息

组件哈希值

用于标识组件文件的唯一性

唯一标识符

CPE、URL（PURL）、UUID、SWHID