关于安全防护:OpenSSF-安全计划SBOM-将驱动软件供应链安全

34次阅读

共计 2171 个字符,预计需要花费 6 分钟才能阅读完成。

开源软件平安基金会(OpenSSF)公布了一项动员打算,以进步开源软件(OSS)的适应性和安全性。古代软件供应链之所以宽泛应用 OSS,是因为它提供了更快的翻新和更高质量的产品,但因为 OSS 组件固有的破绽,其宽泛采纳会随同肯定危险。

该打算的一个重要局部是应用软件物料清单(SBOM)作为根底构建块,改善整个开源生态系统的平安情况。这个打算概述了 OSS 我的项目应如何向上游用户提供 SBOM,从而将 OSS 组件的可见性晋升到一个新的高度。因而,应用 OSS 的企业和组织将须要一套用于 SBOM 治理的流程,使他们可能生成、获取、剖析、存储、监控和共享 SBOM,以进步其本身软件供应链的安全性。
 
 

“SBOM 无处不在”到底是什么?

开源软件平安动员打算蕴含 10 个口头我的项目被称为“流动组”。第 9 组的指标为“SBOM 无处不在:改良 SBOM 工具和培训,以推动其广泛应用”,旨在帮忙推动 SBOM 作为根底构建块的利用,以改善整个开源生态系统的平安情况。该打算的核心思想是让 OSS 生态系统可能为其软件的每个版本提供精确的 SBOM。对于 OSS 厂商、用户和维护者,SBOM 提供的软件产品中所有组件的最终列表,可用于在软件开发生命周期的每个阶段辨认现有破绽和新破绽。
 

“SBOM 无处不在”工作小组将确保现有的 SBOM 格局与记录的用例相匹配,同时开发高质量的开源工具来创立 SBOM 文档。只管目前已有相干工具,但还须要搭建更多工具。该工作小组还负责发展以 SBOM 为主题的教育流动,以推动 SBOM 在开源畛域、政府和商业行业生态系统中的利用。
 

值得注意的是,美国联邦政府采取了积极主动的措施,要求政府机构生产和生产的所有软件都应用 SBOMs。《对于改善国家网络安全的行政命令》指出,网络攻击的频率和复杂性的减少催化了公共和公有部门联手爱护软件供应链的场面。这也标记着 SBOM 驱动的将来曾经到来。

 

SBOM 驱动的将来会是什么样子?

计算机科学家先驱 Alan Kay 有一句名言:“预测将来的最好办法就是发明它。”SBOM 的改革必然是一种翻新和创造。当咱们应用 SBOMs 时,咱们将找到新的办法来改良和构建目前已有的模式。对于将来的 SBOM,咱们先睹为快:
 

多种 SBOM 格局

目前存在多种 SBOM 格局规范,而这些规范将不断改进并演变出其余规范。当下两种最常见的 SBOM 格局是 SPDX 和 CycloneDX。尽管某一种格局可能会成为行业标准,然而只有有多个规范存在,咱们仍有可能须要持续应用多种格局。因而对于 OSS 用户来说,抉择可能反对多种格局的工具则是最优计划。
 

引入和生成 SBOM

咱们运行和构建的许多货色实际上是由许多较小的部件组装起来的。同样,古代软件应用程序应用数百甚至数千个较小的构建块像拼乐高一样将它们组装起来。咱们须要将每个组件中的 SBOM 组装起来,以便为特定应用程序制作一个全面的 SBOM。
 

咱们应用的组件的 SBOM 可能来自 OSS 我的项目或商业软件,亦或者可能须要咱们本人为某些组件生成 SBOM。重要的是要可能以不同的格局引入这些组件级 SBOM,而后组装它们来建设一个更全面的 SBOM。
 

组装和输入 SBOMs

当组装完应用程序级 SBOM,咱们将在外部进行应用和共享(出于安全性和合规性目标)。咱们将为现有软件引入 SBOM,为创立的新软件生成新的 SBOM,而后输入蕴含最终应用程序所有组件的 SBOM。
 

如果没有工具治理 SBOM,输入 SBOM 的过程将非常复杂且费时。大多数应用程序将具备用于各个独自组建的,多个版本的 SBOM,所有这些局部都要合并到最终的 SBOM 中。如果没有 SBOM 工具,跟踪和精确创立应用程序级的 SBOMs 将是一项不可能实现的工作。
 

SBOM 治理

目前,“SBOM 无处不在”的重点是应用 SBOM 进行破绽扫描。通过保护软件应用程序中所有 SBOM 的存储库,您能够继续监控 SPOM 并及时发现新的破绽,在部署后也是如此。SBOM 治理还包含保护软件组件的清单,依据我的项目参与者公布的内容,来验证正在应用的内容,取得对开源许可证的可见性,以及评估 OSS 我的项目的运行状况和危险。而在将来,SBOM 数据将有更多其余用处。
 

开启 SBOMs 的四个步骤

1. 理解 SBOMs

“SBOM Everywhere”倡导的其中一个重点是意识和教育。SBOM 有很多自学资源,例如来自不同平台的博客文章。通过开始学习 SBOMs 以及日益累积相干认知,您将为 SBOM 驱动的将来做好更充沛的筹备。
 

2. 生成 SBOMs

开始为软件或开源组件生成 SBOM。有许多开源工具可用,比方 docker sbom,Syft 和 GoReleaser。通过为构建和部署的软件创立 SBOM,咱们能够理解共享 SBOM 的最佳形式。
 

3. 获取 SBOMs

向开源我的项目保护人员以及商业软件供应商获取 SBOMs。客户和用户申请 SBOM 的频率越高,SBOM 在性能申请列表中就越靠前。
 

4. 对 SBOM 的正当预期

对于所有人来说,对于全新的 SBOM 采纳模式该当有一个正当的预期。咱们将一直地从过往的胜利或失败中获取教训。秉持急躁和了解,致力摸索如何创立,治理和输入 SBOM,最终将帮忙咱们更快地迈向“SBOM 无处不在”的将来。
 

通过采纳 SBOM 作为最佳实际,来爱护在更大的生态系统中创立共享依赖关系的罕用 OSS 组件,由此在极大水平上进步整个软件供应链的安全性。

正文完
 0