TC260-PG-2024XA 网络安全标准实践指南软件物料清单SBOM应用指南培训课件.pptxVIP

TC260-PG-2024XA网络安全标准实践指南软件物料清单SBOM应用指南培训课件

XXX

汇报人：XXX

SBOM概述

SBOM生成技术要求

SBOM实施流程

SBOM应用场景

SBOM管理规范

典型案例分析

目录

contents

01

SBOM概述

SBOM定义与核心要素

组件清单化

SBOM以机器可读格式（如SPDX、CycloneDX）列出软件所有组件（库、模块、依赖项），包含版本、哈希值等唯一标识信息，确保可追溯性。

安全与合规字段

必须包含漏洞关联数据（如CVE编号）、生命周期状态（活跃/终止维护）、配置风险提示，满足NTIA最低要素要求。

元数据完整性

除组件名称外，需记录许可证类型（如GPL、MIT）、供应商信息、依赖关系图谱，以及组件来源（开源仓库、第三方供应商）。

SBOM在网络安全中的作用

漏洞快速响应

通过SBOM与NVD等漏洞数据库匹配，可定位受Log4Shell等高危漏洞影响的组件，缩短修复窗口期（如医疗设备紧急补丁场景）。

供应链透明度

解决“黑盒”依赖问题，揭示开源组件占比（97%代码库含开源）、高风险组件（81%存在已知漏洞），降低供应链攻击风险。

许可证合规管理

避免GPL等传染性协议的法律纠纷，自动化检查组件许可证兼容性（如商业软件禁用AGPL条款）。

生命周期优化

识别过时组件（85%代码库含4年未更新库），推动升级或替换，提升软件可维护性。

国内外SBOM标准发展现状

国际标准主导

SPDX（Linux基金会）、CycloneDX（OWASP）为主流格式，美国NTIA框架要求政府供应商强制提供SBOM，FDA将SBOM纳入医疗器械网络安全审批要件。

TC260发布《软件物料清单安全要求》行业标准，链图平台支持BOM-SW国产格式，金融、医疗领域试点SBOM合规（如PCIDSSV4.0）。

欧美侧重开源合规（如FSF审计），国内聚焦供应链自主可控（如关键信息基础设施保护），IMDRF建议全球医疗器械统一SBOM规范。

国内政策推动

行业差异适配

02

SBOM生成技术要求

数据格式标准（SPDX/CycloneDX）

SPDX国际标准特性

SPDX是Linux基金会主导的开源项目，已通过ISO/IEC5962国际认证，支持XML/JSON/RDF/YAML等多种输出格式，其核心优势在于详尽的许可证管理字段和代码片段引用能力，特别适合合规审计场景。

CycloneDX安全扩展优势

由OWASP发布的轻量级标准专注于安全审计场景，支持硬件/云系统描述，提供漏洞依赖树和供应链上下文分析，其Apache-2.0许可证更利于企业集成到CI/CD流程。

双标准差异化对比

SPDX采用分层文档结构强化许可证合规，而CycloneDX通过BOM-Link机制实现多级SBOM关联，两者在组件标识符（SPDX的PackageURLvsCycloneDX的CPE/SWID）和漏洞关联方式上存在显著技术路径差异。

组件依赖关系识别方法

静态分析技术

通过解析软件包管理器元数据（如npm的package-lock.json）或构建系统输出（如MavenPOM文件），精确识别声明式依赖关系，但可能遗漏动态加载的组件。

01

动态探测技术

在运行时环境通过钩子机制监控实际加载的库文件（如Linux的ld.so），可发现隐式依赖但存在性能开销，适用于容器镜像分析场景。

混合分析方法

结合软件组成分析（SCA）工具如Syft的二进制指纹匹配和依赖图谱推导，能识别未声明但实际存在的第三方组件，需处理误报率问题。

供应链溯源技术

通过构建流水线日志追溯组件来源，包括原始仓库URL、构建参数等元数据，为深度依赖分析提供可信数据源，但依赖完整的CI/CD工具链支持。

02

03

04

漏洞信息关联技术

上下文风险评估

结合CVSS评分与组件实际调用路径（通过SBOM关系图谱分析），区分关键组件漏洞与非关键依赖漏洞，支持优先级修复决策，需集成静态应用安全测试（SAST）数据。

证据链可信验证

通过数字签名和哈希校验确保漏洞数据来源可信，SPDX的ExternalReference机制和CycloneDX的Evidence类型均支持关联漏洞扫描报告原始数据。

CVE映射引擎

基于NVD数据库建立组件版本与CVE的关联规则，需处理版本范围匹配（如SemVer规范）和补丁状态验证，典型实现包括Dependency-Track的漏洞匹配算法。

03

SBOM实施流程

软件资产清点阶段

记录组件元数据

收集每个组件的关键属性信息，包括组件名称、版本号、许可证类型、供应商信息以及组件间的依赖关系，形成初步的资产清单框架。

建立组件分类体系

根据组件类型（如库文件、框架、工具链）、来源（开源/商业/自研）和功能特性进行分类管