软件物料清单 (SBOM) 的价值

如果您在过去的一年里花了不少时间思考供应链安全，您可能熟悉术语“软件物料清单”（缩写为 SBOM）。 最简单的形式是，SBOM 可以与软件的成分列表进行比较。 然而，实际上，它要复杂得多。

在当今数字驱动的企业中，高度依赖软件经销商、开源工具和白标应用程序，拥有软件物料清单的价值怎么强调都不为过。

定义 SBOM：什么是软件物料清单 (SBOM)？

软件物料清单是用于构建产品的基本组件（如代码资源）的列表。 它提供机器可读的信息和详细信息，概述供应链中各个软件元素之间的连接。

SBOM 本质上是关于人们所使用的数字“材料”的完整性，重点是信任和安全。 他们可以识别软件的组成部分、这些文件的来源、它们的构建方式以及它们是否由受信任的个人安全签名。

SBOM 是软件开发人员和消费者可以用来增强软件开发和分发生命周期的信心和可信度的工具。

Gartner 估计，到 2025 年，为关键基础设施开发或采购软件的组织将有 60% 必须使用 SBOM，这一比例较 2022 年的不到 20% 大幅上升。让我们来看看原因，以及软件账单的价值到底是什么。材料。

SBOM 和网络安全：为什么维护软件物料清单至关重要

在公共和私营部门，网络攻击现在都非常普遍。 2022 年下半年，针对政府部门的入侵数量与 2021 年同期相比猛增 95%。

预计网络攻击对全球经济的影响将从 2022 年的 8.44 万亿美元大幅上升至 2027 年的 23.84 万亿美元。

这就是为什么企业、网络安全倡导团体甚至政府都在推动 SBOM 作为数字基础设施的重要组成部分，而不是锦上添花。

事实上，美国于 2021 年 5 月发布的题为“改善国家网络安全”的第 14028 号行政命令 (EO) 强制要求使用 SBOM 来增强美国联邦数据库的安全性。 它使任何与政府机构合作的软件提供商都必须遵守软件物料清单。

最终，如果公司不知道其软件内部有什么，他们就无法完全理解或评估它给公司或可能的下游客户带来的风险。

SBOM 的用例

除了让您了解第三方软件，从而更轻松地应对供应链攻击之外，软件物料清单还有助于：

1. 加强买卖双方关系

   软件开发人员及其用户都需要对他们所使用的软件有信心。 个人可以使用 SBOM 中包含的元数据来验证软件的完整性，并快速识别可能影响其系统和流程的故障或易受攻击的组件。

   同样，SBOM 可以强调软件开发人员创建安全、最先进的软件所需采取的安全措施。

2. 进行更全面的漏洞分析

   公司可以检查 SBOM 组件是否存在漏洞。 如果存在问题，他们还会注意要纠正哪些依赖项。 漏洞是一种缺陷，恶意行为者可以利用该缺陷来破坏软件或损害其运行的系统。

   SBOM 可以确保正在使用的软件定期更新并保持最新状态。 如果没有，您可以仅对过时的组件进行风险分析，而不是浪费资源对整个软件进行审查。

3. 提供更高质量的软件

   正如一句老话所说，“说你所做的，做你所说的”同样，创建和评估 SBOM 的行为通常可以帮助开发人员确定软件构建是否真正处于最佳状态。

   它是否一致且可重复？ 生成的 SBOM 是否反映了工程师认为软件中包含的内容？ 或者说，是否存在鸿沟？ 大多数 SBOM 生成器至少会发现一些供应商不知道的软件项目，这使他们能够提高软件质量并仅发布最佳版本。

4. 改进采购决策

   使用第三方软件提供商提供的 SB​​OM 使采购经理能够做出更明智的软件采购决策。 借助软件物料清单，IT 采购专家可以在购买前深入了解软件的内部结构，了解其功能。

   如果 SBOM 在购买前不可用，您可以在购买后的合理时间内（在供应商锁定设置之前）利用此用例，并在必要时切换提供商。

5. 构建可互操作的企业系统

   企业架构师负责构建公司的技术框架。 与建筑建筑师一样，如果您掌握了手头资源的每个元素，那么构建技术堆栈就会简单得多。 对于合并和收购尤其如此，架构师无法完全了解软件的出处、功能和局限性。

6. 加强安全事件响应

   SBOM 可以作为事件调查结果和建议的验证——出错的方向指标。 作为支持证据，SBOM 协助调查事件并评估其对并发系统或早期系统版本的影响。

   

   在事件发生期间和之后，SBOM 还可以促进协作者、受影响群体和客户之间的互动。

   验证 SBOM 枚举的内容在传播时相当准确，并且不存在已识别或未解决的漏洞是 SBOM 在事件响应管理中的进一步应用。

   这可以减少面临数据泄露或同等严重事件的公司的法律风险和责任。

企业使用 SBOM 的注意事项：如何最大化其价值

供应商有责任组装、格式化并提供完整的软件物料清单以供您使用。 然而，获得 SBOM 还不够；还需要获得 SBOM。 企业需要一种治理策略来将 SBOM 路由到最有价值的用例。

1. 了解哪些供应商发送 SBOM 请求

   由于资源通常具有固定的使用限制，因此您需要从业务影响分析开始，以确定最重要的服务提供商和商业现成或 COTS 软件解决方案。

   对于某些具有严格安全标准的企业，所有对组织数据有任何影响的供应商都需要提交 SBOM。 对于其他各方来说，也许只有关键服务提供商的子集需要参与此过程。

   同样重要的是要考虑供应商的专业水平。 与斗志旺盛的初创公司相比，成熟的企业供应商将更愿意满足您的需求。

2. 决定 SBOM 更新的节奏并使用自动化

   您需要提交 SBOM 的规律性也需要考虑。 在某些行业中，每当软件更新时，客户可能会要求更新。

   对于 SaaS 平台，这种情况可能会持续发生（每小时或每天），但这种频率会使供应商承担 SBOM 数据收集和交付职责的负担过重。 通常，最好按计划的时间间隔（每天、每个新版本等）请求产品的 SBOM“概览或快照”。

   验证您的合同是否包含用于 SBOM 交付的正式服务级别协议 (SLA)。

3. 建立 SBOM 交换和版本控制工作流程

   充满 JSON 和 XML 文件的邮箱是一种无效的数据管理方式。 组织至少需要一种结构化方法来监视和监督每个 SBOM 的版本。

   理想情况下，您需要一个能够摄取、解码和评估所包含信息的系统。 SBOM 数据可以由 Anchore 和 Mend.io 等平台获取，以发送自动警报并执行自动安全分析等功能。

下一步

为了进一步加强组织的安全协议，请将 SBOM 与漏洞管理工具连接起来。 例如，应用程序或容器扫描程序可以使用 SBOM 数据来搜索已识别的漏洞和风险。

随着网络攻击频率的增加，供应链安全现已成为所有企业的重要考虑因素。 软件物料清单 (SBOM) 是一种非常有用的工具，可帮助组织识别和监控软件组件。 它还可以让用户充分了解潜在的安全或效率问题。

接下来，利用 Splunk 关于安全超越合规性的最新见解来制定您的 SBOM 策略。 如果您喜欢阅读本文，请点击顶部的 Facebook、Twitter 或 LinkedIn 按钮在社交媒体上分享！