“企业和组织应该将重点放到 SBOM 应用机制的实际和流程上,并且将其集成到平安开发生命周期的日常流动中。”
文章关键词:SBOM;SBOM 最根底元素;数据字段;自动化反对;最佳实际和流程
前文咱们围绕“什么是软件基础设施透明度”、“为什么制订最根底 SBOM”、“最根底 SBOM 对各方劣势”、“最根底 SBOM 波及范畴”等多个方面,对美国商务部与国家电信和信息管理局(NTIA)公布的 SBOM 最根底元素指南给大家做了一个初步的介绍。在接下来的文章中,咱们会具体为大家介绍 SBOM 最根底元素波及的三个方面:数据字段、自动化反对与最佳实际和流程。前文提到:“咱们对数字基础设施的信任度与基础设施的可信度和透明度成正比。”这些最根底元素代表着本领导意见对于企业和组织对于晋升软件供应链平安的最根本要求。后续企业和组织能够针对本身状况在此基础上减少信息来晋升软件供应链平安的透明度。
软件的“树状构造”
软件与组件的关系能够用树形构造来示意,软件是由不同的组件组成,而组件也是由很多子组件组成。
图 1. 软件组件间的树状构造示意
组件的起源通常是第三方,但也能够是“甲方”,比如说来自同一供应商但可能被惟一辨认,作为一个独立的、可跟踪的单元。每一个组件都应该领有其 SBOM 表来构建这个树形构造。从工具和对立格局构建的这些数据字段能够在流程与实际中取得更多的自动化能力。
数据字段
SBOM 的核心思想是领有一个统一的、对立的构造,用以展现和捕获软件中组件的信息。这些数据字段组成了追踪和保护组件信息的基线,来充沛的辨认组件,并且把这些信息与破绽数据和许可证数据互相映射,为晋升软件供应链平安提供更多有价值的信息。这些指标数据字段中大部分是用以与其余数据源建设映射关系。
该领导意见中给出的组件信息的基线包含:
自动化反对
自动化反对的指标是实现在现有工具的根底上构建易于采纳、反对将来倒退并兼顾可扩展性。自动化反对包含两个方面:主动生成的能力和机器的可读性。这其中须要跨组织和跨软件生态系统的扩大能力。所以,不应包含应用专有的数据格式的规范。
自动化反对可施展微小的作用,举两个例子,比方有些组织机构须要将这些数据融入到现有的破绽管理系统中,亦或是须要进行安全策略方面的实时审计。
该领导意见强调了应用工具在生成可预测的执行策略和数据格式中的重要作用。这些数据格式岂但须要机器可读,也须要人的可读性强,因为能够更好地反对谬误排查和翻新。
针对这些外围数据字段的语法状态,业界曾经有多个国内组织独特制订的数据格式规范,比方以下:
- Software Package Data eXchange (SPDX)
- CycloneDX
- Software Identification (SWID) tags
值得注意的是,为了更好地跨组织传递信息,SBOM 必须是可互认、可互用的形式。如果呈现与其余数据格式兼容的新标准,则应在 SBOM 的最根底元素领导意见中蕴含针对此新标准的自动化反对。相似地,如果曾经确定某数据格式不再穿插兼容,或者没有失去踊跃保护和反对 SBOM 用例,则应从自动化反对章节中删除该数据格式,不再作为 SBOM 最根底元素的一部分。并且数据格式不应包含公有的格局规范。这实现了在现有工具的根底上构建易于采纳、反对将来倒退以及可扩展性。
流程和最佳实际
该领导意见指出,为了更好地实现 SBOM 的价值,企业和组织应该将重点放到 SBOM 应用机制的实际和流程上,并且将其集成到平安开发生命周期的日常流动中。在索要 SBOM 和提供 SBOM 的时候,须要提供一些基本要素。这其中有一些比拟间接的要求,比方更新频率。然而同时也存在一些诸如访问控制之类的要求,这类要求存在多种具体实施办法并且在一直倒退之中。
该领导意见给出的一些流程和最佳实际方面的要求有:
以上是对《SBOM 的最根底元素》指南中的数据字段、自动化反对与最佳实际和流程的深度解读,欢送交换探讨。
在接下来的文章中,安势信息会为大家具体开展与 SBOM 最根底元素相结合的应用场景。敬请关注!