共计 1792 个字符,预计需要花费 5 分钟才能阅读完成。
清源 CleanSource SCA 的 SBOM 能够帮忙用户更好地恪守规范,与客户建设信赖,并晋升软件供应链平安。
晋升软件供应链的透明度是解决开源代码平安与合规问题的将来方向,SBOM 是其中最要害之处。无论开发团队规模大小与否,确保应用程序平安的一个必要步骤是评估用于创立应用程序的开源组件的供应链是否平安。通过建设一个残缺而精确的软件物料清单(SBOM),组织能够更好的了解与开源组件相干的平安危险和许可证合规信息,更好地防止和应答安全漏洞和许可证条款守约。
清源 (CleanSource) SCA 通过生成的残缺、精确和可追溯的 SBOM,岂但能够帮忙企业升高平安危险和法律合规危险,还能够进步软件供应链的效率并提供可追溯性。
在美国商务部和国家电信和信息管理局(NTIA)公布对于 SBOM 中最根底元素的领导意见中规定了 7 个 SBOM 必备的数据字段:提供者名称、组件名称、组件版本、其余惟一标识符、依赖关系、SBOM 数据创建人和工夫戳。
清源 (CleanSource) SCA 能够在输入的 SBOM 中为用户提供这些信息和其余领导意见中倡议的补充信息,来加强软件供应链的透明度。
常见的 SBOM 规范有 SPDX 和 CycloneDX,清源 (CleanSource) SCA 能够通过规范的 SPDX 或 CycloneDX 格局进行输入。这些标准化的 SBOM 格局提供了合乎 NIST 规范的必要信息。
通过标准化的格局输入,清源 (CleanSource) SCA 生成的 SBOM 为客户提供了一个简略且欠缺的解决方案。正如美国第 14028 号行政命令中所规定的,进步软件供应链透明度步骤之一是要求供应商向其产品的购买者提供规范的、机器可读格局的 SBOM。尽管该行政命令目前临时只实用于美国联邦政府洽购和治理的软件,但咱们齐全有理由置信它将成为整个软件开发行业的一个宽泛实用的规范。
用清源 CleanSource SCA 创立 SBOM
当用户应用清源 (CleanSource) SCA 扫描一个我的项目或应用程序时,扫描的详细信息会出现在“成分治理”中的仪表板上,显示所有辨认到的文件、组件、依赖、告警、破绽、许可证等信息。SBOM 是一个软件的成分列表,清源 (CleanSource) SCA 的仪表板能够以最为直观的形式生成这种列表。
用户只需导航到“报表”标签,抉择“创立报告”的选项,并抉择所需的格局(SPDX/CycloneDX)。在几秒钟内,我的项目的 SBOM 就被创立并能够下载。
上面的截图显示了咱们是如何轻松地为一个被扫描应用程序创立 SBOM。
组件仪表板是咱们用来展现的应用程序,demoProject。咱们能够看到清源 (CleanSource) SCA 辨认出了哪些开源组件,它们是如何被引入到应用程序中的,以及与它们相关联的破绽信息和许可证信息。
在账户中所有生成的报告或 SBOM 都会被保留在“报告治理”标签中。这会简化组织跟踪这些 SBOM 随工夫变动的状况。
无论是 SPDX 还是 CycloneDX 格局,生成的 SBOM 将是一个 JSON 文件。这会有助于它放弃标准化和机器的可读性。咱们能够应用 JSON 阅读器来关上。上面是咱们在 Visual Studio 中关上生成的 SBOM 的视图。在这个片段中,你能够清晰地看到有平安危险的组件,以及其余信息,例如相干的许可证。
What’s Next?
我的项目的 SBOM 曾经被创立,那么咱们下一步应该做什么?
咱们能够通过 2021 年产生的 Log4j 事件答复这个问题,如果回溯到 2021 年 Log4j 0-day 破绽首次被披露的时候,咱们能够通过清源 (CleanSource) SCA 生成的 SBOM 来发现所有应用 Log4j 组件的我的项目,从而能够在第一工夫精准定位有破绽的我的项目并依据修复倡议疾速进行修复。
在抉择 SBOM 生成工具和组建软件供应链危险管理策略时,须要思考的关键因素之一是如何应用 SBOM 晋升风险管理的效力。SBOM 自身是取得可见性和缩小危险的关键点,但它们并不能通知你我的项目中有哪些危险。真正连贯 SBOM 和相干危险之间的惟一办法是应用软件成分剖析 (SCA) 解决方案。
清源 (CleanSource) SCA 不仅能够辨认应用程序中的组件并输入残缺且精确的 SBOM,而且还能够就平安和许可证危险和抵触提供倡议,以及针对安全漏洞提供修复倡议。
