本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:当今高度信息化和数字化时代,软件已经成为人们生活和工作中不可或缺的重要组成部分。随着软件产业的快速发展和安全事件频繁发生,软件自身的安全问题已经成为当下亟待解决的重大问题。针对这一挑战,越来越多的企业和组织开始关注软件安全治理,其中基于SBOM的软件安全治理方案效果显著,得到了越来越多的关注和实践。
关键词:SBOM;软件供应链;安全治理;开源组件
doi:10.12045/j.issn.1007-3043.2023.08.003
概述
随着软件在社会经济生活中越来越广泛地应用,软件供应链安全问题日益引起人们的重视。为了实现软件的快速开发和应用,当前软件绝大部分都是采用组件组装而成,且随着开源文化的兴起,开源组件在软件中的使用比例迅速升高。开源组件的引入虽然加快了软件开发与迭代效率,同时也将开源的安全问题引入了软件供应链。针对当前开源软件的大量使用,攻击者会通过网络工具、下载投毒、代码污染、漏洞利用等供应链攻击手段对企业的软件系统进行破坏性攻击。近几年此类攻击事件频发,攻击手段多样,其中影响巨大的安全事件有 SolarWinds 攻击、Realtek Wi-Fi SDK 漏洞、Apache Log4j2 漏洞等,这些事件都给企业和用户带来了重大的损失。
为了解决上述软件供应链的安全问题,涌现出许多新的软件安全治理方法,其中一种基于软件物料清单(Software Bill of Materials,SBOM)的软件治理方法得到越来越多的重视。SBOM 明确描述了一个软件产品中包含的所有组件及其依赖关系,帮助提高软件的透明度和信任度,可以很好地帮助治理软件供应链所面临的安全问题,构建一个更加安全的软件供应链体系。