SBOM(软件物料清单)是企业使用的所有软件组件的完整列表。SBOM通常由第三方开源库、供应商提供的软件包和企业自己编写的专有软件构成。
SBOM本质上是在应用程序中使用的所有软件组件的清单。没有它,企业就无法看到正在构建或使用的软件相关的许可证和安全风险。维护一个符合SBOM格式的最新清单对于跟上敏捷开发的步伐至关重要。因为在现代软件快速开发的过程中,组件及其版本正在迅速变化。
由于当今的应用程序通常由许多单独的组件构建,通常来自各种开源或专有源码包,因此SBOM变得越来越重要和有价值。考虑到这些复杂性,涉及产品的组织和个人很难完全了解软件供应链以及可能存在的任何许可证风险。
而SBOM可以帮助企业快速识别和补救潜在的安全漏洞,满足许可要求,并应用版本控制最佳实践。此外,去年美国政府也就此颁布了一项条款,要求针对联邦政府出售产品的组织必须创建SBOM,以进一步提高安全性。
SBOM的最小组成要素分为三个领域:
1、数据字段:每个基于组件的软件工程的基线信息。
2、自动化支持:以机器和人类可读格式自动生产SBOM的能力。
3、实践和过程:如何以及何时生成和分发SBOM。
温馨提示:答案为网友推荐,仅供参考
第1个回答 2023-09-05
SBOM啊,全称应该是Software Bill of Materials,,中文翻译过来呢,叫软件物料清单。其实很好理解,就跟我们买加工后的食物,包装袋上展示的成分表一样,软件物料清单您可以理解为是软件的成分表。
里面主要包含这几项:
● 供应商名称
● 组件名称
● 组件版本
● 其他独特标识符: 像SWID标签、PURL、CPE或类似的标识符,可以帮助SBOM 消费者在关键数据库中找到组件。
● 依赖项关系
● SBOM数据的作者
● 时间戳
基本上可以把软件内部组成成分的情况,比如来自于哪个供应商、版本、组件之间的相互依赖关系、层级关系等帮用户梳理清楚。
一般来说,那些软件体量比较大的企业,如果没有软件物料清单管理的话,软件安全管理就会比较困难。软件就跟盲盒一样,一旦出现安全问题,都没办法快速定位到安全问题所在。
SBOM现在在国外已经是很受重视了,美国电信管理局(NTIA)2021年就 发布了一项规定,要求是政府采购的软件必须要包含SBOM,也就是说,如果你想把你的软件卖给政府,必须附带这个软件物料清单。
里面主要包含这几项:
● 供应商名称
● 组件名称
● 组件版本
● 其他独特标识符: 像SWID标签、PURL、CPE或类似的标识符,可以帮助SBOM 消费者在关键数据库中找到组件。
● 依赖项关系
● SBOM数据的作者
● 时间戳
基本上可以把软件内部组成成分的情况,比如来自于哪个供应商、版本、组件之间的相互依赖关系、层级关系等帮用户梳理清楚。
一般来说,那些软件体量比较大的企业,如果没有软件物料清单管理的话,软件安全管理就会比较困难。软件就跟盲盒一样,一旦出现安全问题,都没办法快速定位到安全问题所在。
SBOM现在在国外已经是很受重视了,美国电信管理局(NTIA)2021年就 发布了一项规定,要求是政府采购的软件必须要包含SBOM,也就是说,如果你想把你的软件卖给政府,必须附带这个软件物料清单。
相似回答