随着現代軟體開發越來越依賴于第三方資源,針對軟體供應鍊的惡意攻擊數量也随之激增。據業内權威機構 Gartner 預計,軟體物料清單 (SBOM) 的采用率在 2025 年将會達到 60%。 Gartner 明确提醒軟體開發企業及組織,如果想要在軟體市場上保持良好的競争力,準備好向客戶提供 SBOM 是十分必要的。
SBOM 是管理現代軟體部署的複雜性和安全性的重要基礎。想要成為軟體産品行業中的上司者,就必須滿足對技術、最佳實踐和解決方案不斷增長的需求,以支援 SBOM 的傳遞。毫不誇張的說,SBOM 對于軟體供應鍊安全管理至關重要。Gartner 表示,盡管在2022年采用關鍵任務軟體解決方案的企業要求在其許可或支援協定中披露 SBOM 還不到5%,但這一比例在2025年将會達到60%。
SBOM 的重要性不言而喻,但也需要企業理性看待其性質和用途。SBOM 和那些處理、分析和利用安全相關資訊的工具和流程一樣重要。例如軟體成分分析 (SCA) 和代碼簽名,這些也是完整軟體供應鍊的必要元素。
領先于對 SBOM 的需求
Gartner 建議軟體提供商盡快滿足 SBOM 披露的最低要求。與此同時,在準備 SBOM 時,應當針對相應行業的需求和動态進行定制。盡管當下軟體供應商還沒有收到要求披露 SBOM 的請求,但 Gartner 仍然建議軟體提供商領先于對 SBOM 的需求,建立産品内部軟體資産的完整清單。
此外 Gartner 還建議軟體提供商将其每項資産歸類為“商業機密”或“完全披露”。軟體供應商可能決定從 SBOM 中排除或披露商業機密,但通過客戶許可協定中的保密協定可以來保護這些商業機密。同時還建議軟體供應商建立所有外部依賴項的完整清單,受與資産提供商簽訂的服務水準協定 (SLA) 限制的依賴項應歸類為“商業支援”。依賴項的任何 SLA 都應要求完整的 SBOM 披露,而沒有合同 SLA 的依賴項應歸類為“自支援”。同時,軟體供應商應當為這些依賴項建立一個自我支援的 SLA。該 SLA 應包括對完整 SBOM 的發現和跟蹤。
充分發揮 SBOM 的安全價值
Gartner 建議軟體資産提供商應當確定他們有能力為其自主開發的資産建立完整的 SBOM 。在滿足客戶對SBOM的最低需求的同時,供應商應當超越滿足最基本的需求。SBOM 的目的是為軟體使用者提供對構成軟體解決方案的資産的洞察力,以便他們努力糾正和消除通過 SBOM 披露發現的安全問題,進而避免網絡惡意攻擊者利用這些安全問題及漏洞用于自己的攻擊向量政策。
同時可以嘗試制定和使用讓 SBOM 能夠創造更多安全價值的政策。比如将SBOM 傳遞與更加廣泛的安全機會,更深入地內建到 DevSecOps 實踐中,以及以将其與長期産品路線圖聯系起來的方式擴充和發展 SBOM 技術。
現代軟體開發環境
Gartner 預估在未來的軟體項目中,将有40% 到 80% 的代碼來自第三方,大部分外部代碼來自無數個開源項目,而其餘的專有代碼來自供應商,對其安全狀态和狀況的可見性十分低。與此同時,許多開源軟體 (OSS) 依賴項的管理不善讓情況變得更加複雜。在過度依賴開源軟體的技術生态系統中,許多元件可能完全缺乏足夠的商業支援來源。是以,軟體的安全狀況及實踐會因供應商而異。
![軟體開發設計整體文檔編制手冊[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)