“我們對數字基礎設施的信任度與基礎設施的可信度和透明度成正比。”
在現代世界,軟體系統涉及複雜的、動态的而且常常是不清晰的供應鍊。最近軟體供應鍊安全與合規事件的頻發也為企業群組織敲響了警鐘。
2021 年 5 月 12 日,針對提升資訊安全,美國總統拜登簽署了 14028 号行政令,要求美國商務部和國家電信和資訊管理局(NTIA)在 60 天内釋出關于 SBOM 中最基礎元素的指導意見。在 2021 年 7 月 21 日,此指導意見釋出。
NTIA 從 2018 年便開始針對軟體元件透明度做相關的工作,作為召集人和中立的協調方聽取了來自不同領域的聲音,來達成一個更為完善可行的成果。
針對越來越多的中國科技型企業走出國門,将産品出口到歐美等海外市場的需求越來越大,機遇和發展前景廣闊的同時,遵循歐美等國的各種法律法規和标準成為企業需要面臨的挑戰。
本文會為大家淺析此指導意見的要求部分。
SBOM 的定義
SBOM 為軟體的開發、購買和使用者提供針對提升軟體供應鍊安全的一系列資訊,包括安全和合規兩個方面。SBOM 無法解決所有的軟體安全問題,但是會提供最為基礎的資訊,通過利用 SBOM 提供的資訊,企業群組織可以更為有效、精準的掌控使用的元件資訊,在遇到重大安全漏洞的時候可以迅速響應,另一方面,SBOM 可以幫助企業合法合規地使用軟體許可證。
為什麼要制定最基礎 SBOM 規範
SBOM 已經作為美國國家層面針對軟體供應鍊安全的首要工作。本指導意見規定了支援基本用例的最基本元素,例如漏洞管理、軟體清單和軟體許可證。除了這些最基本的元素外,SBOM 完整性,以及跟蹤更詳細的供應鍊資料是在指定最基礎 SBOM 基礎上後續可以完成的工作,而且這些元素已經顯示出了在守護軟體供應鍊安全方面的巨大潛力。但是本指導意見敦促企業群組織盡早開始針對 SBOM 開展工作而非等待 SBOM 體系更成熟。
SBOM 與軟體基礎設施透明度
軟體基礎設施的透明度對于建構安全的資訊安全環境和降低研發、采購和維護的成本有重要的作用。SBOM 在提升軟體基礎設施透明度方面發揮了重要的作用。透明度最好的展現方式是使用業界達成共識的模型,這樣會有助于在不同的資訊來源中系統性地分享諸如元件中繼資料等相關的資料。為了在全球範圍内将該模型進行擴充,解決普遍識别和定義軟體元件的問題至關重要,來允許這些資料被下遊使用者有效和高效地使用。
軟體元件的識别是 SBOM 的核心,而 SBOM 又是外部資料和内部軟體元件成分資訊的粘合劑。從簡單的漏洞映射到融合外部資料對 OSS 軟體包進行漏洞的持續監控。
SBOM 對各方的優勢
軟體生産商
對軟體生産商來講,他們使用 SBOM 來確定元件是最新的版本并可以對新出現漏洞做出快速響應。除安全方面以外,SBOM 幫助生産商了解需要遵循的許可義務。這些方面都會提升開發效率和有效性。最終會提升管理效能。
軟體使用者
對軟體使用者來講,SBOM 可以極大增強其漏洞風險管理能力。依賴 SBOM 提供的軟體生态系統間的依賴資訊,軟體使用者可以更快速準确地識别和評估新發現漏洞的相關風險,提升響應速度。最終提升風險管理能力。
綜上這些隻能通過機器可讀的 SBOM 來實作,并且 SBOM 需要具備自動化能力、工具融合能力和查詢處理這些資料的能力。
該指導意見中最基礎 SBOM 涉及的範圍
本指導意見中針對第 14028 号行政令規範了 SBOM 的技術和實踐基線,并且融合了可以讓相關技術和使用者更加靈活的擴充空間。
SBOM 并不是解決軟體供應鍊問題的萬能藥,但是它可以提升企業群組織應對已知漏洞的能力。該指導意見認為,更多的漏洞披露反而意味着軟體的使用風險相對降低,因為這意味着這些漏洞正在被研究人員關注并且持續被披露。
SBOM 是管理供應鍊安全的起點,這些最基礎的元素并不會捕獲軟體在源頭、處理和使用過程中所有的中繼資料,在目前的環境下是更切實可行的。
其中有一部分資料會被融入到未來 SBOM 的擴充中,SBOM 不會是軟體供應鍊安全的唯一資源或機制保證。該指導意見認為,其他資料可以與 SBOM 互補,并且鼓勵 SBOM 采用可連結和子產品化的方式去提高靈活性。例如可連結特性會使得 SBOM 更容易的與其他重要的供應鍊資料相結合;随着軟體供應鍊透明度的不斷提升和管理工具的不斷成熟,子產品化會為今後更多的實踐用例提供更強的可擴充性。有些關鍵點并不是這份指導意見的範圍,包括監管和采購要求的問題,最基礎元素并不應被視為聯邦的要求。軟體物料清單中的“軟體”自然而然的限制了對于硬體的考慮,但是嵌入到硬體中的軟體必然是在這個範圍内的,考慮到硬體的供應鍊安全問題的複雜性,應當予以單獨考慮。
這些最基礎元素隻是我們提升供應鍊安全的起點,而不應該成為創新和探索的限制。我們相信,SBOM 會随着時間而更加進步和成熟。
SBOM 最基礎元素中的三個闆塊
SBOM 最基礎元素我們也可以稱為 SBOM 的最基本元素,SBOM 的常見格式有三種:SPDX、CyclonDX 和 SWID,此指導意見不以某種格式為前提,給出一個更加廣泛适用的最基礎 SBOM 規範。
資料字段
記錄有關每個元件的基線資訊,這些元件應該被跟蹤:供應商、元件名稱、元件版本、其他唯一辨別符、依賴關系、SBOM 資料的作者和時間戳。
自動化支援
支援自動化,包括通過自動生成和機器可讀性允許跨軟體生态系統的擴充。用于生成和使用 SBOM 的資料格式包括 SPDX、CycloneDX 和 SWID 标簽。
![深度解讀 | 關于 SBOM 最基礎元素,你需要知道的(Part II)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)